
Todos sabemos que la comunicación es importante. Cualquiera que haya estado casado, haya hecho amigos o haya trabajado sabe que esto es cierto. Si bien la buena comunicación es casi universalmente beneficiosa, a veces es más beneficiosa que otras. ¿Tal vez? durante un incidente de ciberseguridad.
Los respondedores de incidentes saben que la comunicación es primordial. Incluso unos pocos minutos pueden significar la diferencia entre cerrar un problema (minimizando así el daño) y permitir que una situación de riesgo persista por más tiempo del necesario. De hecho, la comunicación con diferentes equipos, tanto dentro como fuera del equipo, es una de las herramientas más importantes que puede utilizar un equipo de respuesta.
Esto es evidente dentro del equipo de respuesta. Después de todo, el conocimiento, las perspectivas y los antecedentes varían entre los equipos, por lo que cuanto más centrado esté en los datos y la información, mayores serán sus posibilidades de encontrar y resaltar información clave. Lo mismo ocurre con los grupos externos.
Por ejemplo, un equipo externo puede ayudar a recopilar datos importantes para ayudar a resolver un problema: información técnica sobre un problema o información sobre el impacto en el negocio. Asimismo, establecer una línea clara de comunicación con los tomadores de decisiones puede ayudar a “despejar el camino” cuando se requiera un presupuesto adicional, acceso a circunstancias/personas u otras intervenciones.
¿Qué sucede cuando algo sale mal? Es decir, ¿cuándo se vio afectada la comunicación durante el incidente? Las cosas pueden complicarse muy rápidamente.Si no cree que esto sea preocupante, considere las últimas semanas: dos enormes Interrupciones que afectan a Cloudflare (haciendo que muchos sitios web sean inaccesibles) y interrupción de holgura acaba de pasar Si su equipo usa herramientas de comunicación basadas en la nube que dependen de Cloudflare (de las cuales hay algunas) o Slack, es posible que aún tenga recuerdos frescos de los desafíos de comunicación.
Ahora imagine que todos los canales de comunicación que utiliza para regular las operaciones no están disponibles. ¿Qué tan efectiva cree que fue su comunicación en esta situación?
flujo de tráfico alternativo
Recuerde, la mitad de un evento es cuando más se necesita la comunicación, pero también (no por coincidencia) es más probable que se interrumpa. Los eventos dirigidos pueden hacer que los recursos críticos, como los servidores de correo electrónico o las aplicaciones de emisión de boletos, no estén disponibles. Un incidente de malware a gran escala podría sobrecargar la propia red con tráfico (lo que posiblemente afectaría a VoIP y a otro tráfico de red), etc.
¿Cuál es el punto de? Si quiere ser efectivo, planee esto con anticipación. Planifique las fallas de comunicación durante los eventos, al igual que dedica tiempo a preparar su propio negocio para cosas como los desastres naturales. Piense en cómo se comunicará su equipo de respuesta a incidentes con otras regiones geográficas, miembros dispersos del equipo y recursos críticos si un incidente hace que los canales normales no estén disponibles.
De hecho, a menudo es una buena idea tener varias opciones diferentes para «canales de comunicación alternativos» que permitan a los miembros del equipo comunicarse entre sí en función de qué y cuánto se ve afectado.
Los detalles de cómo y qué hará obviamente variarán según el tipo de organización, sus requisitos, factores culturales, etc. Sin embargo, una buena manera de planificar es considerar cuidadosamente cada mecanismo que usa su equipo y luego tener al menos un plan de respaldo para todos.
Si su equipo utiliza el correo electrónico para la comunicación, puede investigar los servicios externos que no dependen de los recursos internos pero que mantienen una línea de base de seguridad razonable. Por ejemplo, podría considerar un proveedor externo basado en la nube como ProtonMail o Hushmail.
Si usa VoIP normalmente, considere si tiene sentido entregar teléfonos celulares prepagos o teléfonos satelitales (o al menos algunos disponibles) a los miembros del equipo en caso de que la comunicación de voz se vea afectada. De hecho, en algunos casos, métodos como el uso de una red celular o satelital externa para complementar el servicio de voz pueden ayudar a proporcionar una ruta de conexión de red alternativa al mismo tiempo, lo que puede ser útil en situaciones en las que la conexión de red es lenta o no está disponible.
Planificar rutas a recursos y actores externos clave
Lo siguiente a considerar es cómo accederán los socorristas a los programas, herramientas y datos en caso de una interrupción. Por ejemplo, si mantiene sus respondedores registrados y los pone a todos en la red donde todos puedan encontrarlos en un apuro, es un buen comienzo, pero ¿qué sucede si la red no está disponible o el servidor que la almacena se cae? Si está en la nube, ¿qué sucede si el proveedor de la nube se ve afectado por el mismo problema o no está disponible?
Así como consideró y planificó cuidadosamente las alternativas sobre cómo los respondedores deberán comunicarse durante un incidente, también considere cuidadosamente lo que necesitan comunicar y cómo accederán a los recursos críticos que necesitan.
Para la documentación, esto podría significar mantener un libro impreso en algún lugar al que puedan acceder físicamente; para las herramientas de software, podría significar almacenar una copia en un medio físico que puedan obtener (unidad USB, CD, etc.) en caso de que lo necesiten. Las circunstancias variarán, pero piénselo detenidamente y tenga un plan de respaldo en marcha.
Extienda esto a recursos externos clave y personas a las que los miembros de su equipo también pueden necesitar acceso. Esto es especialmente importante cuando se trata de tres cosas: acceso a tomadores de decisiones clave, relaciones públicas externas y legal.
En el primer caso, hay situaciones en las que es posible que deba traer recursos externos para ayudarlo (por ejemplo, expertos forenses o encargados de hacer cumplir la ley). Al hacerlo, esperar la aprobación de personas a las que no se puede contactar debido a interrupciones u otros motivos pone en riesgo a la organización.
El aprobador deberá ser contactado de inmediato (posiblemente a través de un canal de comunicación alternativo como se describe anteriormente) o proporcionar aprobación por adelantado (por ejemplo, preaprobado para gastar dinero hasta un límite de gasto determinado) para que no tenga que esperar durante el evento. .
Lo mismo es cierto para las divisas. No querrá descubrir que sus contactos y contactos clave (como los medios de comunicación) están desaparecidos justo cuando más los necesita. Finalmente, el acceso a asesoría legal es muy importante, así que asegúrese de que su estrategia de comunicación alternativa incluya un mecanismo para acceder a recursos internos o externos en caso de que necesite su aporte.
La consecuencia es que la tendencia humana natural es ignorar la fragilidad de las dependencias a menos que las examinemos sistemáticamente. Incluso en condiciones desafiantes, los respondedores de incidentes deben poder continuar operando de manera efectiva y compartiendo información.
Tomarse el tiempo para pensar en estas cosas y encontrar formas de abordarlas es importante para ayudar a estas personas a hacer su trabajo durante un incidente de seguridad cibernética.