Conclusiones clave del «Estudio de Respuesta a Incidentes 2022»

0
33

Los ciberataques rara vez se producen cuando es conveniente. De hecho, es relativamente común que se produzcan en fines de semana o en vacaciones: los actores de las amenazas se aprovechan del hecho de que hay menos personal en el lugar, y los que están allí se centran en el próximo fin de semana o en el tiempo libre.

Tampoco es raro que los ataques de esta naturaleza afecten a sistemas críticos: los sistemas que ayudan a los profesionales de los servicios de emergencia a dirigir a los pacientes hacia la atención médica que les salva la vida o los que garantizan que los suministros de alimentos sigan llegando a las tiendas de comestibles. Los ciberataques ya no se limitan a la accesibilidad de los datos, sino que con frecuencia traspasan la línea de los efectos en el mundo real de las personas.

Es una historia familiar para el personal de respuesta a incidentes: Es viernes por la tarde y un cliente llama para informar de que está sufriendo un incidente grave. A veces afecta a varios sistemas y amenaza con dejar su negocio completamente fuera de servicio. Necesitan ayuda inmediata, y cada segundo cuenta.

Las primeras 72 horas de un incidente son críticas y pueden ser increíblemente exigentes.

El personal de respuesta suele trabajar sin descanso para localizar el vector de ataque inicial, contener la amenaza, evaluar los daños y, en última instancia, reducir el impacto global del incidente. Además, es probable que éste no sea el único incidente en el que esté trabajando un interviniente: es habitual que los equipos de respuesta a incidentes (IR) tengan que centrarse en dos o incluso tres incidentes simultáneamente.

Los equipos de respuesta a incidentes tienen la tarea de defender entornos en constante expansión de amenazas cada vez más agresivas y en evolución. Un nuevo estudio de IBM Security realizado por Morning Consult encuestó a más de 1.100 responsables de actuar en caso de incidentes de ciberseguridad en 10 países y descubrió que el 67% experimenta estrés o ansiedad a diario debido a las presiones de responder a un ciberincidente.

Estos responsables son individuos únicos. Hacen lo que hacen porque están impulsados por un sentido del deber hacia las organizaciones que defienden y las personas que protegen. De hecho, casi el 80% de estos agentes mencionan este sentido del deber entre las principales razones que les atraen a la profesión.

Según el 50% de los encuestados, la gestión de las expectativas de múltiples partes interesadas es el aspecto más exigente del trabajo. En cualquier momento de un incidente, el personal de respuesta está atendiendo múltiples solicitudes simultáneas de la dirección general y el consejo de administración del cliente, así como de sus propios directivos y colegas.

En la base de todo ello está el sentido de responsabilidad del interviniente ante su cliente y su equipo para mitigar el incidente. Nuestro impulso innato de hacer el bien en el mundo y nuestro compromiso de ayudar a la gente es lo que impulsa nuestro trabajo, y estas estadísticas lo reflejan.

Lo que es más inmediatamente tangible es la hábil gestión del tiempo y la energía que los intervinientes ponen en su trabajo. El estudio lo corrobora al constatar que:

Más de un tercio trabaja más de 12 horas al día durante el periodo más estresante del compromiso, y estos compromisos suelen durar alrededor de un mes.

Algunos compromisos pueden incluso durar más tiempo, ya que el 39% de los intervinientes en Estados Unidos se enfrentan a incidentes que se prolongan durante más de cuatro semanas.

Además, el 68% afirma que es habitual que se les asigne la respuesta a dos o más incidentes de ciberseguridad a la vez.

Implicaciones para la salud mental en el mundo real
Si se suman estos factores, está claro que la respuesta a incidentes puede afectar a la salud mental. No es raro que los equipos experimenten insomnio, agotamiento e incluso impactos en su vida social.

A esa ansiedad se suma la sofisticación creciente de los ciberataques dañinos. En el estudio se menciona el ransomware por su nombre, ya que el 81% de los encuestados experimentaron una mayor presión como resultado del aumento de los ataques de ransomware en el último año.

Sin embargo, afortunadamente, existen sistemas de apoyo para muchos de estos equipos que trabajan duro: el 84% dice que tiene acceso adecuado a recursos de salud mental, y un notable 95% siente que su liderazgo superior proporciona la estructura de apoyo necesaria para tener éxito.

El sentido del deber les impulsa
A pesar de todo, los intervinientes están dispuestos a hacer lo que hacen por su ejemplar sentido del deber. Alrededor del 36% mencionó el sentido del deber de ayudar y proteger a los demás como la razón número uno que les atrajo al trabajo, y ésta fue la razón principal que les atrajo al campo en los 10 países encuestados.

Otra razón por la que los intervinientes hacen lo que hacen es que les impulsa la necesidad de resolver problemas urgentes, así como el hecho de que aprenden cada vez que intervienen en un incidente, lo que no hace sino perfeccionar sus habilidades.

El ADN de un interviniente se basa en la compasión, la creatividad y la adrenalina, y la sed de conocimiento y crecimiento da forma a su psique, lo que a su vez inspira su oficio.

Cómo apoyar mejor al personal de respuesta a incidentes
Quiero ser claro: las IR, aunque a veces son un reto, no son del todo sombrías. Según mi experiencia personal y la de las personas estudiadas, la satisfacción, la emoción y el potencial de crecimiento de la carrera superan los aspectos negativos. Y hay medidas prácticas que las organizaciones pueden tomar para mitigar algunos de esos aspectos negativos y ayudarse a sí mismas en el proceso.

En primer lugar, crear planes y guías de actuación de RRII desde la perspectiva del interviniente. Incorpore a los intervinientes desde el principio del proceso de elaboración del libro de jugadas, así como en la revisión y actualización periódica de estos planes. Pregunte explícitamente a los profesionales de IR qué necesitan en el primer día o en las primeras 72 horas, ya que son plazos críticos para responder con éxito a un incidente. Implicar a los profesionales de IR desde el principio de la reestructuración de su plan puede evitar que una mala situación se convierta en el peor de los casos.

A continuación, practique estos planes. No se limite a marcar una casilla con el ejercicio de simulación anual. Comprométase realmente a realizar los simulacros y a ensayar los incidentes de una manera que sea inmersiva, realista y relevante para su línea de negocio específica. Una buena mentalidad para ensayar sus planes es pensar en ello como un equipo de atletismo profesional piensa en su entrenamiento. Un equipo no entra en el campo sin practicar. En cada partido se dedican horas y horas de planificación y práctica para que todos los miembros del equipo den lo mejor de sí mismos, juntos.

Las carreras en IR son únicas por derecho propio, y distintivas dentro de la propia industria de la ciberseguridad. La naturaleza del trabajo tiene el potencial de impactar no solo en las empresas, sino los responsables involucrados.

Fuente WEB | Editado por CambioDigital OnLine

Custom Text
Artículo anteriorUn informe revela que los datos biométricos están amenazados por las redes sociales
Artículo siguienteLas empresas de Musk, en el punto de mira del gobierno estadounidense