Tome estos pasos para prepararse y manejar los efectos de seguridad cibernética de la guerra en Ucrania

Los CISO y sus equipos en Europa y en todo el mundo ya están experimentando impactos en la ciberseguridad por la guerra en Ucrania y las sanciones impuestas a los actores rusos y bielorrusos, o pronto lo harán. Si aún no lo ha hecho, estos son los pasos relacionados con la seguridad cibernética que debe tomar ahora mismo, además de algunas trampas que debe evitar.

  • A riesgo de decir lo obvio, siga los consejos actuales de su autoridad nacional de ciberseguridad. La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) ya ha advertido sobre el aumento de los ataques a infraestructuras críticas y bases industriales de defensa a través de su iniciativa Shields Up. Este es el mejor lugar para recibir información actualizada de CISA sobre el estado actual del conflicto. En el Reino Unido, el Centro Nacional de Seguridad Cibernética (NCSC) ha publicado pasos específicos a seguir en el actual panorama de amenazas. Otras agencias como la Agencia de Ciberseguridad de la Unión Europea (ENISA), la Oficina Federal para la Seguridad de la Información (BSI) en Alemania y la Agencia Nacional de Ciberseguridad (ANSSI) en Francia han advertido de la situación y se ha desplegado una unidad cibernética de la UE. para ayudar a Ucrania. El Centro de Seguridad Cibernética de Australia también brindó orientación a través de una alerta urgente cuando el gobierno australiano impuso sanciones a Rusia el 23 de febrero. En ausencia de información específica de su autoridad nacional de seguridad cibernética, use la guía que hemos vinculado aquí.

  • Póngase en contacto con los contactos del gobierno. Asegúrese de tener un contacto estable dentro del gobierno en cada país donde tenga una operación grande a la que pueda comunicarse en caso de un incidente o para obtener actualizaciones sobre la situación actual. En los Estados Unidos, InfraGard coordina el intercambio de información con proveedores de infraestructura crítica. En el Reino Unido, revise la información proporcionada por el centro de Infraestructura Nacional Crítica del Centro Nacional de Seguridad Cibernética (NCSC) del Reino Unido y sus equivalentes en Europa. Para las organizaciones con sede en la UE, hable con los contactos locales del CSIRT (equipo de respuesta a incidentes de seguridad informática) y del CERT (equipo de respuesta a emergencias informáticas). (Encuentre una lista completa aquí.)

  • Inicie una «solicitud de inteligencia» de su proveedor de inteligencia de amenazas. Idealmente, esta es una parte existente de su contrato, pero valdrá la pena incluso si debe pagar una tarifa adicional. Explique el público objetivo del informe para que su proveedor produzca información a la altura correcta (para su junta directiva, para su equipo de seguridad, etc.). La solicitud de inteligencia debe ir más allá de las descripciones generales normales que brinda su proveedor y debe incluir detalles relacionados con su industria vertical y ubicaciones operativas. Además, debe brindarle información sobre los actores de amenazas de interés y sobre las tácticas, técnicas y procedimientos (TTP) que utilizan esos actores de amenazas.

  • Informe a sus principales partes interesadas antes del ciclo de noticias sobre el entorno de amenazas y el riesgo. Los incidentes de seguridad cibernética que logran prominencia en los medios tienen la costumbre de alarmar a los altos ejecutivos y miembros de la junta, lo que genera una cascada de preguntas de pánico para usted y su equipo. No se deje sorprender, ya que tales solicitudes pueden consumir un tiempo precioso que necesitará para lidiar con un posible incidente. Prepare un resumen con anticipación y hágalo lo más factual posible sobre la situación y la amenaza externa general, el impacto potencial en su organización y el riesgo general para el negocio. Aproveche la oportunidad para recordar a sus ejecutivos qué actividades tácticas está realizando para enfrentar los problemas inmediatos, así como también cómo su estrategia servirá para prepararse para tales eventos, ahora y en el futuro.

  • Colabore con sus proveedores de seguridad. Los proveedores de seguridad de su organización deben asumir un papel proactivo en sus preparativos para los conflictos cibernéticos y la defensa en profundidad. Confíe en los representantes de su cuenta de proveedor; están incentivados para garantizar que reciba el nivel adecuado de atención por contrato o específico para esa tecnología. Para los proveedores de productos, confirme el tiempo de respuesta y las opciones de automatización para las actualizaciones de parches y conjuntos de reglas; para los servicios gestionados, aclarar sus procesos y canales de comunicación. Ya debería estar recibiendo comunicaciones de sus proveedores sobre el conflicto en Ucrania. Si aún no ha recibido actualizaciones, comuníquese directamente con el proveedor, su representante, el equipo de soporte, etc. Preste especial atención a los proveedores que respondieron menos durante Log4Shell, porque dos desempeños deficientes durante una crisis crean un patrón desagradable.

  • No intente predecir lo que harán los estados-nación. Las agencias de inteligencia del mundo han hecho un trabajo notable al unirse y compartir inteligencia para limitar la información errónea y la desinformación. Tienen la información que usted, y nosotros, no tenemos, y aún así se pierden cosas. Concéntrese en la preparación y en mejorar la resiliencia de su empresa en lugar de intentar predecir lo que sucederá a continuación.

  • No puede prepararse para los ataques cibernéticos cuando son ya está sucediendoasí que no lo intentes. Los dentistas le dirán que «no puede abarrotar para un examen dental», y esto es similar; es demasiado tarde para iniciar cambios tecnológicos generalizados. Es por eso que la seguridad cibernética es un programa y por qué la preparación y la preparación son tan importantes. Si hay ajustes que puede hacer después de una sesión de escritorio reciente en los procesos o la comunicación, hágalos y actualice su documentación en consecuencia.

Esto es lo que debe hacer a continuación

Una vez que haya completado los pasos anteriores, esta es su próxima lista de verificación a seguir:

  • Esté preparado para más información errónea y desinformación. La desinformación y la desinformación ocuparon un lugar destacado en el período previo a este conflicto. Las denuncias de reuniones de gabinete organizadas mucho después de que se tomaron las decisiones son un ejemplo. El 3 de febrero, EE. UU. predijo que Rusia usaría videos gráficos falsos como pretexto para la invasión. Investigadores de inteligencia de código abierto analizaron un video que apareció dos semanas después y demostró que EE. UU. tenía razón. Estos videos tienen dos propósitos: reforzar el sentimiento interno de invasión y distorsionar las narrativas en el extranjero. En Francia, India, el Reino Unido y los EE. UU., los encuestados en nuestra Encuesta imperativa de confianza global de marzo de 2021 confiaban más en sus empleadores que en los líderes gubernamentales nacionales y locales. Esto significa que la información que proporciona su equipo de seguridad tiene un peso considerable. Por lo tanto, tenga a mano sus planes de respuesta a incidentes y sus elementos de comunicación.

  • Considere herramientas de comunicaciones seguras para seguridad, privacidad y confiabilidad. Las empresas preocupadas por la seguridad y la privacidad de las comunicaciones comerciales, como las escuchas ilegales, la exposición de los metadatos de las comunicaciones, la pérdida de datos o el incumplimiento, a través de los canales tradicionales pueden tomar medidas para proteger las comunicaciones corporativas. Los empleados en Ucrania y sus alrededores también pueden enfrentar interrupciones en la infraestructura de comunicaciones. Las soluciones de mensajería y llamadas encriptadas como Element, KoolSpan y Wickr funcionan en entornos con poco ancho de banda. Y estas herramientas no son inversiones únicas; puede usarlos para proteger sus comunicaciones diarias y como canales de comunicación fuera de banda durante las respuestas a incidentes y para brindar a los ejecutivos que viajan una mayor seguridad.

  • Cree sus rangos de respuesta a incidentes. Si ha estado buscando crear un camino para el avance de sus analistas o ingenieros de seguridad del centro de operaciones de seguridad (SOC) de alto rendimiento, ahora es el momento. Muchos proveedores de servicios de respuesta a incidentes ofrecen capacitación para equipos internos sobre acciones de respuesta, investigaciones forenses y recopilación de pruebas. Un ataque dirigido suele dar como resultado una respuesta compleja y prolongada. Trabaje con su proveedor para desarrollar un plan de capacitación que cree un banco de suplentes capaces en el camino de la promoción para que pueda permitir que sus respondedores clave descansen y eviten el agotamiento.

  • Preste atención a la higiene del dispositivo y el software. Esto puede parecer una obviedad, especialmente dadas las políticas típicas de C2C (cumplir para conectar), pero este es un momento crítico para que sus dispositivos, terminales y aplicaciones estén completamente parcheados y actualizados. Priorice las vulnerabilidades críticas y cualquier vulnerabilidad con un exploit conocido, pero no descuide los puntos altos y medios; un atacante no relacionado que ha estado acumulando una acumulación de exploits bien podría decidir usarlos mientras el mundo está preocupado por la guerra en Ucrania. Además, considere un ejercicio de simulación sobre cómo responder y parchear un nuevo día cero.

Esta publicación fue escrita por el analista principal Paul McKay y apareció originalmente aquí.

Deja un comentario