6 fases de un servicio de respuesta frente amenazas

2021 acabara siendo un año clave en muchos sentidos, un año con muchos retos tecnológicos que revisar, pero, sobre todo, un año donde la ciberseguridad ha demostrado su valor fundamental para mantener los negocios en pie. Un momento en el que los proveedores de seguridad y sus servicios de respuesta frente amenazas se han vuelto más esenciales que nunca.

Dentro de los servicios gestionados que puede ofrecer un partner TI, aquel dedicado a detectar y anticiparse a las consecuencias de los ciberataques es uno de los valiosos. En un contexto de amenazas sin igual, contar con un respaldo y protección de una agente especializado puede ayudar a las empresas a librarse, o al menos minimizar el impacto, de un susto.

Sin embargo, como todos sabemos ni todos los servicios TI son iguales ni todas las ofertas de los MSP cuentan con todo lo necesario para conseguir la protección Zero-Trust que tanto se busca en este momento. Conscientes de ellos, los cibercriminales utilizan este eslabón para atacar a muchas organizaciones y conseguir la preciada información que quieren. Por ello, hoy nos enfocamos en profundizar en aquellas 6 fases que consideramos vitales para conseguir ese servicio de respuesta frente amenazas que nos coronorá frente a un cliente:

Preparación

Un servicio de respuesta frente a amenazas empieza mucho antes de que haya un ataque. Evaluar el estado en el que se encuentra la organización y su seguridad así como analizar las brechas que puede haber o las opciones que tienen para mejorar es el primer paso.

Tras esa auditoria, organizar la política de acción frente a una incidencia será básico en el servicio. Así, podremos saber qué pasos dar cuando llegue el ataque, que con la experiencia en la mano, es evidente que llegará tarde o temprano.

Identificación

Una vez que la amenaza está aquí, lo principal es identificarla. Muchas organización no son conscientes de que han sido atacadas hasta pasados días o incluso meses lo que da vía libre a los cibercriminales para conseguir no solo la información que quieren en un momento dado, sino de seguir sustrayendo datos por un tiempo indefinido.

Así, un servicio de respuesta frente amenazas debe tener ser capaz de una identificación ágil con la que poner a todos en preaviso y poder seguir con las siguientes fases del plan ya preestablecido.

Contención

El siguiente paso lógico es el de conseguir que ese ataque sea lo menos dañino posible. Para ello, una vez que las alertas han saltado, es momento de ponerse manos a la obra y actuar sin demora para evitar la propagación del ataque y conseguir las mínimas consecuencias.

Quizás este es uno de los puntos más críticos no porque sea el más importante per se, sino porque es el que más valorarán los clientes a futuro. Por ello, debemos estar preparados para tomar las medidas adecuadas y lo más importante, saber cuáles son esas acciones que debemos aplicar. Esto marcará la diferencia entre un proveedor cualificado y uno que no lo está.

Erradicación

A partir de aquí debemos pensar en acabar con la amenaza. En este punto entra en juego tanto la tecnología que utilicemos como el caso concreto en el que nos encontremos para poder finalizar el incidente con las menores consecuencias posibles.

No solo se trata de cerrar las compuertas para que evitar males mayores sino conseguir que esos agujeros por los que han entrado no vuelvan a estar abiertos nunca más.

Recuperación

Al tener ya detectado, contenido y erradicio el ciberataque, es momento de pensar en cómo recuperarnos. El servicio de respuesta frente amenazas debe estar preparado para este paso que asentará las bases del futuro protocolo de actuación.

En el caso de haber sufrido un ransomware, no solo hay que pensar en la recuperación del servicio sino también de la información. No siempre es posible conseguirlo de forma total, pero si es una fase en la que trabajar.

Enseñanza

Y quizás otro de los puntos vitales para que como proveedores de seguridad seamos los especialistas que alardeamos ser. Y es que la ciberseguridad supone estar en constante aprendizaje. Ya que los cibercriminales no cesan en su empeño de innovar para conseguir sus objetivo, los MSP deben ponerse en la misma situación desde el bando contrario.

En este sentido, cada nuevo ataque a un cliente puede suponer una nueva oportunidad de entender qué hemos hecho bien y qué no, y cómo podemos mejorar nuestro servicio de respuesta de amenazas. Una opción más para seguir reforzando nuestra oferta y continuar especializándonos.