Así que, ya sabe lo que hay que hacer. Ha puesto en marcha las políticas y ha capacitado a todos los miembros de la organización en las mejores prácticas. Incluso con todo este arduo trabajo, es muy probable que algo salga mal. Son cosas que pasan. Cuando esto sucede, es esencial contar con un plan de respuesta ante incidentes. La respuesta a los incidentes es una parte fundamental, y a menudo infravalorada, del plan de seguridad de su organización porque puede ser la diferencia entre que un ataque destruya la reputación de su organización o que sea un desagradable bache en el camino.
Recuerde que solo puede responder a un incidente si sabe cómo hacerlo. Es muy importante tener una sólida cultura de seguridad en la organización y animar al personal a informar los problemas. Por eso, es mejor premiar el buen comportamiento en materia de seguridad que castigar las fallas o errores de seguridad. También es importante expresar empatía y comprobar el bienestar del personal cuando este informa un incidente. Quiere que el personal denuncie inmediatamente si hace clic en un enlace de phishing, un teléfono robado o una cuenta de redes sociales pirateada, y no que dude por miedo a las represalias o a la falta de apoyo. Después de todo, la respuesta a incidentes, al igual que las estrategias de mitigación mencionadas en otras secciones del Manual, es un esfuerzo de toda la organización.
Entonces, ¿qué debe planificar? En resumen, cualquier cosa que tenga cierta probabilidad de ocurrir. Esto será diferente para cada organización, pero las preguntas comunes que un plan de respuesta a incidentes ayudará a responder incluyen:
- ¿Qué hacemos si nuestras cuentas o sitios web son pirateados?
- ¿Qué hacemos si alguien hace clic en un correo electrónico de phishing o si un dispositivo actúa de forma sospechosa?
- ¿Qué hacemos si nos roban y filtran nuestros correos electrónicos o documentos más sensibles?
- ¿Qué hacemos si uno de nuestros empleados corre peligro físico o es detenido? ¿O si luchan contra el estrés y la ansiedad debido a esas amenazas?
- ¿Qué hacemos si nuestra oficina resulta dañada por un incendio, una inundación o una catástrofe natural?
- ¿Qué hacemos si un empleado pierde o le roban la computadora o el teléfono?
Las respuestas a estas y otras preguntas variarán según la organización, pero es importante que las analicen juntos y que articulen y compartan claramente un plan para que todos los miembros de la organización estén preparados para actuar inmediatamente y limitar los daños.
Según la Guía de Seguridad Holística de Tactical Tech, un buen punto de partida para un plan de respuesta a incidentes es definir un incidente o una emergencia en el contexto de su organización. Decidan qué es una “emergencia”, es decir, el momento en que se deben empezar a aplicar las acciones y medidas de contingencia previstas. Esto es importante, ya que a veces no estará claro. Si imagina un escenario como la pérdida de contacto con un colega en una misión de campo, ¿cuánto tiempo esperaría antes de declarar una emergencia? Uno no quiere alarmarse demasiado pronto, pero esperar demasiado puede ser desastroso en algunas circunstancias.
También es importante pensar en los pasos de las operaciones. Asigne a cada persona una función clara que conozca y haya aceptado de antemano: esto reducirá la desorganización y el pánico en caso de incidente. En el caso de cada amenaza, considere las diferentes funciones que puede tener que asumir y los aspectos prácticos que implica la respuesta a una emergencia. Dentro de esta importante estrategia para emergencias se encuentra la activación de una red de apoyo, una amplia red de aliados, que puede incluir amigos y familiares, partidarios de confianza, partidos políticos aliados y posiblemente recursos gubernamentales. ¿Cómo pueden apoyarlo sus aliados? ¿Debe ponerse en contacto con ellos de antemano para verificar que estarán dispuestos a ayudarlo en caso de emergencia y hacerles saber lo que espera de ellos?
Cuando se responde a un incidente, las comunicaciones eficaces son cada vez más importantes. Decida cuál es el medio más seguro y eficaz para comunicarse con cada participante en diferentes escenarios e identifique también un medio de copia de seguridad. Tenga en cuenta que, en caso de emergencia, puede ser útil disponer de pautas claras sobre lo que se debe (y lo que no se debe) comunicar, cuándo se debe comunicar, qué canales utilizar para comunicarse y con quién se debe comunicar. Considere también el impacto de un incidente en la reputación de su organización y prepárese para responder en consecuencia. Asegúrese de que el responsable de comunicaciones de la organización (en algunas organizaciones puede ser simplemente quien administre la página de Facebook o la cuenta de Twitter) esté al tanto del incidente y pueda vigilar las redes sociales u otros medios de comunicación en busca de posibles repercusiones. El responsable de comunicaciones de la organización también debe estar preparado para responder a posibles preguntas del público o de los medios de comunicación sobre un incidente, si es pertinente. Esto es especialmente importante para adelantarse a cualquier posible noticia negativa o daño a la reputación. Aunque cada incidente y cada contexto son diferentes, una comunicación sincera y transparente suele ayudar a generar confianza tras un incidente.
Creación de un Sistema de Alertas Tempranas y Respuestas
Considere la posibilidad de establecer un Sistema de Alertas Tempranas y Respuestas. Un sistema de este tipo suena elegante, pero en esencia no es más que un documento centralizado (electrónico o no) que se abre en caso de emergencia. En el documento, debe registrar todos los detalles sobre los indicadores de seguridad y los incidentes que se han producido en una línea de tiempo, proporcionar una descripción clara de las acciones y la secuencia para la respuesta planificada, e indicar lo que debe lograrse para considerar que el riesgo ha vuelto a disminuir. También debe incluir las medidas que deben tomarse después de un incidente para proteger a los involucrados de nuevos daños y ayudarlos a recuperarse física y emocionalmente. Un Sistema de Alertas Tempranas y Respuestas puede proporcionar documentación útil para compartir con las fuerzas de seguridad (si corresponde), un análisis posterior de lo sucedido y una orientación sobre cómo mejorar sus tácticas de prevención y respuestas ante futuras amenazas.
Además de estos importantes conceptos de respuesta ante incidentes, su organización también debe prepararse para cualquier respuesta técnica específica. En algunos casos, el personal de TI interno o los administradores del sistema pueden gestionar la respuesta técnica. Por ejemplo, si parece que una cuenta de correo electrónico ha sido pirateada, el administrador de la cuenta debe estar preparado y ser capaz de cerrar o desactivar la cuenta afectada. Sin embargo, algunos incidentes técnicos pueden requerir conocimientos especializados que no tiene dentro de su organización. Para situaciones como esta, es importante identificar una lista de confianza de expertos técnicos externos que puedan ayudarle en su respuesta a los incidentes. En algunos casos, es posible que quiera negociar previamente las condiciones con los proveedores de servicios (como el alojamiento de su sitio web o un consultor informático) para asegurarse de que están disponibles (y no cobrarían un cargo adicional) para este tipo de respuesta a incidentes técnicos.
Por último, pero no por ello menos importante, debe considerar las medidas legales. Es importante entender las protecciones legales que puede tener, así como las obligaciones legales o las consecuencias que su organización podría enfrentar como resultado de una filtración de datos u otro incidente de seguridad. Un primer paso puede ser identificar a un asesor legal de confianza que conozca las leyes y los reglamentos específicos de su país o localidad. Tómese un tiempo para repasar los posibles incidentes con esta persona y elabore un plan sobre lo que haría en respuesta. Es una buena idea llegar a un acuerdo con este asesor de confianza para que lo represente a usted y a sus intereses si es necesario también después de un incidente. Como parte de esta preparación legal, asegúrese de comprender las obligaciones legales de cualquier proveedor o socio. ¿Están obligados a notificarlo en caso de que se produzca su propia filtración de datos? ¿Qué apoyo (si lo hubiera) están obligados a prestarle en caso de incidente? Cuando elabore contratos y acuerdos con proveedores externos, tenga en cuenta la posibilidad de que se produzca una filtración de datos u otro incidente.
Aunque no existe un enfoque único para la respuesta a incidentes, es esencial contar con planes operativos, de comunicación, técnicos y legales claros. Cuando elabore su plan de respuesta a incidentes, le recomendamos encarecidamente que haga uso de algunos excelentes recursos existentes, diseñados para ayudar a las organizaciones a lidiar con la respuesta a incidentes. Aunque no todos estos recursos están diseñados específicamente para partidos políticos, su contenido sigue siendo muy relevante. Estos recursos incluyen el Kit de Primeros Auxilios Digitales desarrollado por RaReNet y CiviCERT, el Manual de Campo contra el Acoso en Línea de PEN América, el Manual de Campaña de Ciberseguridad del Centro Belfer, la Plantilla del Plan de Comunicaciones de Incidentes Cibernéticos y la Línea de Ayuda de Seguridad Digital de Access Now.
- Desarrolle un plan de respuesta a incidentes de la organización, y póngalo en práctica.
- Haga una lluvia de ideas sobre posibles incidentes y prepare su respuesta antes de que ocurran.
- Asegúrese de que todos los miembros de la organización sean informados de cómo se comunicarán y qué medidas técnicas se tomarán en caso de un incidente.
- Tómese el tiempo necesario para comprender sus protecciones y obligaciones legales.
- Esté preparado para proporcionar al personal de la organización el apoyo emocional y social que necesita después de un incidente.
