Skip to main content

Artículo

Gestión de incidentes cyber: Una lista de verificación para la resiliencia empresarial

El panorama de riesgos digitales de hoy en día exige más que respuestas técnicas. Requiere preparación estratégica a nivel de toda la empresa. La resiliencia y la recuperación pueden depender de la preparación, la coordinación y la ejecución. Cuando la presión aumenta, un plan de respuesta bien ensayado puede marcar la diferencia.

Aunque ninguna organización desea experimentar un incidente cyber, estos son cada vez más frecuentes hoy en día, lo que hace que la preparación proactiva sea fundamental. El liderazgo desde la alta dirección juega un papel importante. Las organizaciones pueden considerar la preparación para incidentes como una oportunidad para reforzar sus defensas y fomentar una cultura de resiliencia cyber. Al adoptar una mentalidad enfocada en la preparación, las organizaciones pueden convertir una crisis potencial en un evento más manejable, con el objetivo de minimizar el impacto operativo, financiero y reputacional.

Las organizaciones que priorizan la planificación y la capacitación no solo pueden ser más efectivas y seguras, sino que también pueden reducir el coste de un incidente, ya que esto puede acortar el tiempo de recuperación y potencialmente ayudar con las reclamaciones de seguros. Desde ataques de ransomware y filtraciones accidentales de datos hasta interrupciones de terceros y amenazas habilitadas por IA, el panorama actual de riesgos digitales exige más que respuestas técnicas. Requiere preparación estratégica en toda la empresa. La resiliencia y la recuperación dependen de la preparación, la coordinación y la ejecución. Cuando la presión aumenta, un plan de respuesta bien ensayado puede marcar la diferencia.

“La mayor diferencia entre las organizaciones que gestionan bien los incidentes y las que no lo hacen es que las primeras realmente siguen el plan que han escrito.” Martin Leicht, Líder de Defensa de Reclamaciones Cyber y Gestión de Incidentes en EE. UU., Marsh

“Muchas personas todavía piensan en los incidentes cyber como intrusiones de hackers, pero pueden provenir con la misma facilidad de personas internas. Otro error de concepto es que estos son problemas de TI, pero una brecha cyber en una empresa manufacturera, por ejemplo, puede causar daños físicos.” Edson Villar, Líder de Consultoría de Riesgos Cyber en LAC, Marsh

1. Comprensión de los incidentes de cyberseguridad

Los atacantes actuales suelen ser altamente profesionales y trabajan en organizaciones sofisticadas. En lugar de usar ataques de fuerza bruta para alcanzar sus objetivos, cada vez más utilizan ingeniería social, acceso interno u otros medios para robar credenciales. No irrumpen en la organización; inician sesión en ella. Una vez dentro, pueden esperar meses antes de actuar.

Pero no todos los incidentes cyber son causados por actores maliciosos, y no todas las causas son evidentes. Muchos incidentes provienen de errores humanos básicos o sistemas obsoletos y procesos defectuosos, como la falta de desactivación de credenciales cuando alguien deja la empresa. A continuación se presentan algunos de los tipos de incidentes a considerar al planificar una respuesta.

  • Ransomware: Los actores de amenazas encriptan los datos en un sistema y exigen un rescate para liberarlos. En algunos casos, también pueden exfiltrar los datos y amenazar con publicarlos. Tratar con un incidente como este puede interrumpir las operaciones durante semanas, incurriendo potencialmente en costos significativos por la interrupción del negocio. 
  • Compromiso de correo electrónico empresarial: Este es un ataque de ingeniería social basado en correo electrónico que parece provenir de una fuente legítima, con el objetivo de engañar a empleados o proveedores para que compartan información sensible o transfieran fondos. Los procedimientos de verificación estrictos y la capacitación de los empleados pueden ayudar a mitigar este riesgo.
  • Interrupciones: Además de los ataques maliciosos, los fallos de plataformas de terceros o las configuraciones erróneas accidentales del sistema pueden causar tiempos de inactividad inesperados.
  • Brechas de datos: Información personal identificable (PII), datos financieros, propiedad intelectual u otra información sensible se expone, ya sea accidentalmente o por infiltración de un atacante.
  • Amenazas de IA: Aunque la IA generativa no se ha utilizado para crear un nuevo tipo de ataque, puede acelerar amenazas existentes al ayudar a los atacantes a expandir o acelerar sus esfuerzos, mediante técnicas como phishing con deepfakes y el relleno automatizado de credenciales.
“Mucho de lo que vemos hoy no se trata de irrumpir. Se trata de iniciar sesión usando credenciales robadas, por ejemplo, para operar como un usuario legítimo.” Jeff Bird, Líder de Asesoría en Cyberseguridad, Marsh

“Quieres moverte rápido, pero también necesitas entender las tácticas del atacante. Si actúas sin saber cómo trabajan, corres el riesgo de empeorar las cosas.” Edson Villar, Líder de Consultoría de Riesgos Cyber en LAC, Marsh

2. Preparación para incidents

Las respuestas más efectivas suelen comenzar mucho antes de que ocurra un incidente. La preparación va más allá de los controles de TI; se trata de la preparación en toda la organización. Contar con un plan puede ser esencial, pero para que sea efectivo, debe ser comprendido, practicado regularmente y mantenerse actualizado a medida que cambian las circunstancias internas y externas.

Una debilidad común en la planificación es la falta de coordinación entre departamentos. El chief information security officer (CISO) puede pensar que entiende los procesos esenciales de la organización y prioriza restaurarlos en caso de una interrupción, pero el equipo de operaciones podría estar esperando que se restauren otros procesos primero. Por ejemplo, TI podría priorizar restablecer el correo electrónico mientras el departamento de finanzas espera con urgencia el sistema de planificación de recursos empresariales (ERP) para poder procesar la nómina. También es importante señalar que, en muchos casos, el CIO —no el CISO— es responsable de la restauración de sistemas. Aunque sus responsabilidades pueden diferir, sus prioridades deben estar alineadas, con el objetivo de lograr una respuesta efectiva. La alineación entre equipos internos y partes interesadas externas también puede ser crítica en el caso de reclamaciones de seguros.

Estas descoordinaciones pueden causar retrasos costosos si no se identifican y abordan durante la fase de planificación.

Lista de verificación de preparación: 

  • Desarrollar y mantener un plan de respuesta a incidentes (IRP) por escrito, y revisarlo con frecuencia, idealmente de forma trimestral.
  • Definir roles y responsabilidades en áreas clave, incluyendo técnica, legal, relaciones públicas y operaciones. Verificar que la alta dirección conozca sus responsabilidades.
  • Muchos ataques paralizarán los sistemas de comunicación, como el correo electrónico y los teléfonos de la empresa. Identificar y probar una plataforma de comunicación segura fuera de banda (OoB), como Marsh Central, que permita a la organización comunicarse fuera de la red.
  • Coordinar la estrategia de respaldo con las prioridades operativas y probar regularmente los procedimientos de restauración de respaldos.
  • Alinear a las partes interesadas sobre los proveedores preferidos para legal, forense, relaciones públicas y comunicaciones de crisis. Verificar que su aseguradora haya preaprobado estas firmas para facilitar el proceso de reclamaciones. Construir una relación con estos proveedores antes de que ocurra un incidente, permitiéndoles conocer su plan de respuesta.
  • Realizar ejercicios de simulación regulares a nivel técnico, de gestión y de junta directiva. Antes se hacían una vez al año, pero ahora se recomienda hacerlos con mayor frecuencia.
  • Confirmar la cobertura de seguro cyber, los requisitos de notificación y la preaprobación de proveedores.

La capacitación en concienciación sobre cyberseguridad combinada con la gestión continua de vulnerabilidades puede ser esencial para construir resiliencia cyber. Se ha comprobado que las organizaciones que priorizan la capacitación proactiva e implementan evaluaciones rigurosas de vulnerabilidades y procedimientos de parcheo están mejor preparadas para reducir los riesgos de amenazas cyber en evolución.

Lista de verificación de capacitación para empleados: 

  • Considere implementar una campaña de capacitación para empleados enfocada en los riesgos asociados con ataques de ingeniería social.
  • Actualice el contenido de capacitación y comunicaciones de concienciación, al menos anualmente.
  • Verifique con su equipo de seguridad que los procedimientos de la mesa de ayuda hayan sido revisados y fortalecidos recientemente, si es necesario, ya que suelen ser objetivos fáciles de ataque.
  • Además, establezca una plataforma de comunicación segura fuera de banda (OoB) para actividades más allá de incidentes.
  • Coordinación de incidentes con su broker y capacite a los líderes en su uso, potencialmente durante un ejercicio de simulación.
“Es fácil invertir en herramientas y planes, pero cuando el edificio está en llamas, muchos no los utilizan. Vemos clientes que ni siquiera usan las herramientas que han implementado.” Martin Leicht, Líder de Defensa de Reclamos Cyber y Gestión de Incidentes en EE.UU., Marsh

“Los ejercicios de simulación deben realizarse en tres niveles: técnico, operativo y ejecutivo. Cada grupo enfrenta diferentes desafíos y necesita ensayar en consecuencia.” Jeff Bird, Líder de Asesoría en Ciberseguridad, Marsh

3. Respuesta a Incidentes

Cuando ocurre un incidente cyber, la reacción inicial suele ser de confusión. Puede ser difícil saber qué está sucediendo exactamente, cómo está sucediendo y cuáles deben ser los pasos inmediatos para contenerlo. El tiempo es esencial, pero también lo es la disciplina. Tener un buen plan en marcha es una de las mejores maneras de ayudar a confirmar que se aborden las preguntas importantes y que se tomen las acciones correctas. Saltar demasiado rápido a la recuperación o no coordinar las estrategias legales, técnicas y de reputación puede empeorar el impacto.

Un error potencial es borrar y volver a crear imágenes de los dispositivos demasiado pronto, destruyendo evidencia valiosa que sería útil para los investigadores o borrando datos que no están respaldados en otro lugar. Otro problema común es cuando los equipos restauran desde una copia de seguridad sin saber cuánto tiempo ha estado el atacante en el sistema. Es posible que la copia de seguridad también esté comprometida.

Lista de verificación de respuesta activa

  • Active su plan de respuesta a incidentes y notifique a los aseguradores de inmediato.
  • Use su plataforma OoB para mantener una comunicación segura.
  • Contenga la amenaza: aísle los sistemas afectados y limite el radio de explosión.
  • Involucre asesoría legal, forense digital y especialistas en respuesta a brechas desde el principio.
  • Evalúe la situación de ransomware con apoyo (y consentimiento del asegurador si se considera el pago), si es relevante.
  • Alinee la comunicación interna y externa.
“Un error común es apresurarse directamente a la recuperación. Sin un análisis completo y erradicación, le da ventaja al atacante.” Edson Villar, Líder de Consultoría de Riesgo Cyber en LAC, Marsh

“Te sorprendería lo complicado que puede ser alinear a los abogados de brechas o equipos forenses, especialmente cuando no están preaprobados por el asegurador.” Martin Leicht, Líder de Defensa de Reclamos Cyber y Gestión de Incidentes en EE.UU., Marsh

4. Post-incidente

Una vez que la amenaza inmediata ha sido neutralizada, comienza el verdadero trabajo. Además de la tarea técnica, la recuperación es un desafío financiero y operativo que puede extenderse.

No es inusual tener que reconstruir registros de facturación desde cero porque las copias de seguridad estaban cifradas o incompletas, o enfrentar un tiempo de inactividad prolongado porque las configuraciones de infraestructura virtual no estaban respaldadas. En esta etapa, la documentación es vital, tanto para el cumplimiento regulatorio como para apoyar las reclamaciones de seguros.

Lista de verificación para la recuperación

  • Restaure los sistemas de manera segura, confirmando que las copias de seguridad estén limpias y libres de amenazas incrustadas.
  • Involucre contabilidad forense para cuantificar la interrupción del negocio y apoyar las reclamaciones de seguros. 
  • Retenga evidencia y documentación para fines legales e investigativos. 
  • Realice talleres estructurados de lecciones aprendidas en todos los grupos de interés. 
  • Actualice el plan de respuesta a incidentes, los procedimientos de capacitación y los protocolos de escalación de proveedores. 
  • Comuníquese de manera transparente con los clientes, socios y reguladores afectados. 
  • Revise el seguro cyber, las obligaciones contractuales y los marcos legales para la preparación futura.
“La recuperación a menudo toma más tiempo que la brecha. Son los costos ocultos los que más golpean, como la facturación perdida, los ingresos perdidos y las operaciones retrasadas.” Jeff Bird, Líder de Asesoría en Ciberseguridad, Marsh

“Si los atacantes estuvieron en su red durante meses, también podrían estar en sus copias de seguridad. Restaurar sin verificar podría simplemente reiniciar la brecha.” Edson Villar, Líder de Consultoría de Riesgo Cyber en LAC, Marsh

5. Lista de verificación de resumen

Las organizaciones más resilientes tienden a tratar la preparación cibernética como una disciplina continua, no como un proyecto único. Saben que la respuesta a incidentes se trata tanto de personas y procesos como de cortafuegos y copias de seguridad.

Tenga en cuenta esta lista de verificación:

  • Construya y pruebe regularmente su plan de respuesta.
  • Practique con herramientas reales y personas reales. 
  • Conozca su estrategia de comunicación, especialmente cuando los sistemas están caídos. 
  • Alinee equipos internos y proveedores externos con anticipación. 
  • Utilice plataformas seguras fuera de banda como Marsh Central. 
  • Mantenga informada a la aseguradora durante todo el proceso. 
  • Aprenda de cada incidente, incluso de los casi fallos.
“Las organizaciones que lo hacen bien piensan más allá de las herramientas. Alinean sus equipos internos y externos mucho antes de la primera alerta." Martin Leicht, Líder de Defensa de Reclamos Cyber y Gestión de Incidentes en EE.UU., Marsh

“Todos estamos del mismo lado en ciberseguridad. Considere compartir las lecciones aprendidas fuera de su organización. Eso ayuda a todos a adelantarse al próximo." Jeff Bird, Líder de Asesoría en Ciberseguridad, Marsh

Tenga en cuenta que el uso de un plan de gestión de incidentes cyber, incluyendo las listas de verificación anteriores, no garantiza ningún resultado, incluyendo el resultado de cualquier posible reclamo.

Hable con un especialista de Marsh

Para obtener más información sobre la preparación para incidentes y los pasos que puede tomar para construir resiliencia cyber. Proporcione algunos detalles a continuación y conectemos.

Contenidos relacionados