Si hay un ataque al país, los militares se movilizan. Cuando ocurre un desastre natural, los planes de recuperación entran en vigor. Si una enfermedad infecciosa comienza a propagarse, los funcionarios de salud lanzan una estrategia de contención.

Los planes de respuesta son fundamentales para la recuperación en situaciones de emergencia, pero cuando se trata de ciberseguridad, la mayoría de las industrias no están prestando atención.

"La realidad es que no importa lo asombroso que sea con sus capacidades de prevención, vas a ser hackeado, "dijo Mohammad Jalali, un miembro de la facultad de investigación en MIT Sloan cuyo trabajo se centra actualmente en la salud pública y la ciberseguridad organizacional. "Entonces, ¿qué vas a hacer? ¿Ya tienes un buen plan de respuesta en marcha que se actualiza continuamente? Y los canales de comunicación están definidos, y las responsabilidades de las partes interesadas están definidas? Normalmente, la respuesta en la mayoría de las organizaciones es no ".

Para ayudar a abordar las debilidades de la seguridad cibernética en las organizaciones, Jalali y sus colegas investigadores Bethany Russell, Sabina Razak, y William Gordon, elaboró ​​un marco de ocho estrategias de respuesta agregadas. Lo llaman OREJAS.

Jalali y su equipo revisaron 13 artículos de revistas sobre ciberseguridad y atención médica para desarrollar EARS. Si bien los casos están relacionados con organizaciones sanitarias, las estrategias pueden aplicarse a una variedad de industrias.

El marco de EARS se divide en dos mitades:antes del incidente y después del incidente.

Pre-incidente:

1 — Construcción de un plan de respuesta a incidentes:este plan debe incluir pasos para la detección, investigación, contención, erradicación, y recuperación.

"Una de las debilidades comunes que tienen las organizaciones es que elaboran un plan de respuesta a incidentes, pero el problema es que la documentación suele ser muy genérica, no es específico de la organización, "Dijo Jalali." No hay claro, específico, lista procesable de elementos ".

Asegúrese de que todos en la organización conozcan el plan, no solo los empleados del departamento de TI. Establecer canales de comunicación claros, y al asignar responsabilidades, asegúrese de que estén claramente definidos.

2 — Construcción de una política de seguridad de la información para actuar como disuasivo:Los pasos de seguridad claramente definidos establecen y fomentan el cumplimiento.

"Muchas empresas piensan que el cumplimiento es seguridad, "Dijo Jalali." [Eso] si sigues la información, serás atendido ".

No ponga el listón tan bajo que la organización no sea segura. Las regulaciones deben garantizar la comprensión de las amenazas cibernéticas. Establezca razones de motivación para que los equipos de respuesta sigan las políticas de presentación de informes. El cumplimiento debe ir de la mano de la mejora continua.

3 — Participación del personal clave dentro de la organización:no importa el tamaño de una organización, Los líderes clave deben ser educados sobre la importancia de la ciberseguridad y estar preparados para actuar de acuerdo con el plan de respuesta.

Los líderes no tienen que ser expertos en ciberseguridad, pero necesitan comprender el impacto que tendrá un incidente en su organización. Cuanto más informados estén, cuanto más involucrados puedan estar en un plan de respuesta.

4 — Pruebas simuladas periódicas de los planes de recuperación:los ejercicios de recuperación ayudan a las organizaciones a poner a prueba los planes y capacitar a los empleados sobre los protocolos de respuesta adecuados.

Si la organización solo prueba su plan de recuperación durante una emergencia real, es probable que surjan problemas graves, lo que podría incrementar la cantidad de daño causado por el ciberincidente.

El cambio de una postura reactiva a una proactiva puede ayudar a una organización a identificar debilidades o brechas en su plan de recuperación. y abordarlos antes de que ocurra un incidente.

Después del incidente:

5 — Contención del incidente:la contención implica tanto medidas proactivas como reactivas.

Es más fácil cortar los dispositivos infectados de una red si ya están segmentados de otros dispositivos y conexiones. antes de un incidente.

Los investigadores admiten que no siempre es posible segmentar redes, ni desconectarlo inmediatamente de todo el sistema. Por lo menos, Informe de inmediato el dispositivo infectado al equipo de TI de la organización para contener el incidente.

6 — Ética incorporada y participación de otros más allá de la organización:es importante recordar que todas las partes interesadas de una organización podrían verse afectadas por un incidente cibernético.

Notifique de inmediato al asesor legal y a las agencias reguladoras y policiales relevantes. Considere la ayuda de recursos externos y comparta información sobre la amenaza cibernética.

7 — Investigación y documentación del incidente:Sea oportuno y minucioso; Se debe documentar cada paso de la reacción anterior y posterior al incidente.

La investigación debe tener como objetivo encontrar la causa técnica raíz del problema, así como debilidades que podrían prevenir futuros ataques. La documentación adecuada es una necesidad para este análisis.

8 — Construcción de un algoritmo de evaluación y recuperación de daños:las organizaciones deben autoevaluarse después del incidente.

Si bien las computadoras son el lugar donde ocurren los ciberataques, también se pueden utilizar para ayudar con la recuperación. Las organizaciones pueden aprovechar el poder de las computadoras, especialmente inteligencia artificial, para la detección y contención de incidentes en tiempo real.

"Los marcos de uso común para las estrategias de respuesta a incidentes a menudo pasan por alto este paso esencial, "Jalali dijo, "a pesar de que ya existen productos basados ​​en IA para este mismo propósito".