Después de una violación de datos, siga esta Lista de verificación de seguridad de red


Independientemente de cuánto esfuerzo invierta en su plan de seguridad de red, la actualización simple del sistema puede causar una vulnerabilidad que los hackers podrían aprovechar. Hacen lo mejor que pueden, pero aún puede llegar a ser una violación. En este caso, debe crear una lista de verificación de seguridad de red y un plan de respuesta a la violación de seguridad.

La naturaleza de la violación y su negocio deben determinar el alcance y el contenido de su plan de respuesta. Si bien cada violación de datos puede ser única, algunas otras tienen una base común. Por lo tanto, considere este contexto histórico antes de crear su plan. Después de una infracción, su Lista de verificación de seguridad de la red debe contener varios objetivos, lo que puede afectar a múltiples organizaciones internas y externas. Es posible que desee tener un "plan de planes" donde cada plan secundario se centre en otro aspecto de la violación de seguridad. Si elige un enfoque diferenciado, es posible que pueda reaccionar más rápido. Examinemos algunas de las diferentes respuestas que puede recibir.

Sigue estos cuatro pasos

Respuesta táctica. Primero, descubra cómo evitar que la lesión cause más daño. Si se resuelve la violación de seguridad, por ejemplo. Por ejemplo, una contraseña de administrador en peligro puede corregir el problema cambiando las contraseñas. Sin embargo, piense qué hacer si la violación de seguridad es más frecuente o, en el peor de los casos, si sabe que el sistema está comprometido, no cómo ni dónde está comprometido. ¿Necesita desconectar algunos o todos sus sistemas hasta que pueda determinar la causa de la violación de seguridad?

Discuta posibles violaciones de seguridad y las etapas de reacción correspondientes antes de que ocurra una violación de seguridad. Su equipo de seguridad de red debe identificar las acciones que se pueden tomar de inmediato y que no requieren aprobación previa. Por ejemplo, los administradores de seguridad deberían poder deshabilitar de inmediato todas las redes de invitados en su oficina. Dichas redes tienden a ser una cortesía más que una necesidad comercial, y es posible que la violación de seguridad se origine en un dispositivo invitado no administrado o se esté ejecutando activamente.

Es posible que desee deshabilitar temporalmente recursos importantes pero innecesarios para intentar ponerlos en cuarentena, o al menos reducir la cantidad de aplicaciones o dispositivos internos que el hacker puede atacar. Este enfoque varía ampliamente de una compañía a otra, pero desea que este análisis y este plan se realicen mucho antes de que ocurra una violación.

El delito es, por definición, un delito. Por enjuiciamiento y razones de seguro, debe guardar evidencia.

Reacción forense. El delito es, por definición, un delito. Por enjuiciamiento y razones de seguro, debe guardar evidencia. Por lo tanto, debe tener un plan forense como parte de su lista de verificación de seguridad de la red.

Considere al menos dos escenarios: Primero, la violación de seguridad aún está en curso. En segundo lugar, se detuvo la lesión. En el primer caso, desea asegurarse de generar evidencia. En este último caso, desea garantizar la preservación de la evidencia.

El registro de auditoría está disponible en prácticamente todos los sistemas de TI. Normalmente, la configuración predeterminada registra eventos importantes. Sin embargo, para evitar que el software de registro genere grandes cantidades de datos, no se registran todos los eventos detallados. Para una violación de seguridad continua, es posible que desee información más detallada.

En su plan para una violación de seguridad, debe documentar qué sistemas tienen opciones de registro detalladas y cómo se pueden activar en tiempo real. Si se ha producido una infracción, no debe buscar un tutorial de registro de auditoría.

Si la violación se ha detenido, debe obtener los registros que usted y los investigadores deben analizar posteriormente. Algunos registros del sistema tienen límites de tamaño y simplemente sobrescriben los datos existentes cuando están llenos. Al igual que un vuelo en un avión, estos registros solo están interesados ​​en la última actividad.

Con demasiada frecuencia, las violaciones no se detectan de inmediato. En tales casos, un registro que se reescribe demasiado rápido puede eliminar datos clave. Revise los registros clave del sistema para determinar cuánto tiempo mantendrán los registros históricos. Algunos sistemas mantienen un historial permanente al generar regularmente archivos de almacenamiento.

El almacenamiento es económico. Por lo tanto, es posible que desee cambiar la configuración de registro circular para permitir más tiempo para revisar el comportamiento de la red.

Notificación de legislación y legislación. Una violación puede tener implicaciones legales y de cumplimiento significativas. Por esta razón, su lista de verificación de seguridad de la red debe contener disposiciones que especifiquen cómo notificar a las autoridades relevantes. En la mayoría de las empresas, esto afectaría al departamento legal, notificando e interactuando con las agencias de cumplimiento de la ley y del gobierno.

Ayuda a ser proactivo. Por ejemplo, si tiene datos que corresponden a HIPAA debe coordinar su plan de respuesta con el Departamento Jurídico para comprender los pasos específicos necesarios para cumplir con los requisitos de las autoridades competentes.

Tenga en cuenta esto Incluso si su empresa tiene su sede en los EE. UU., Es posible que deba cumplir con el RGPD de la Unión Europea al tratar con datos de la zona euro.

Busque ayuda en el exterior para responder a las violaciones. Existe una gran cantidad de opiniones y recomendaciones sobre cómo responder a las violaciones, con una gran cantidad de información disponible públicamente. Use estos recursos al crear su lista de verificación de seguridad de red. Travelers Insurance, Experian y muchos otros proporcionan información en sus sitios web que proporciona información. Use todos estos recursos y tome las piezas que sean relevantes para su entorno y requisitos.

Finalmente, verifique que su compañía se encuentre entre más y más compañías que tienen una póliza de seguro cibernético . Si bien dichas políticas pueden ayudar a su empresa a aliviar las pérdidas financieras, también pueden afectar su estrategia para responder a las violaciones, y no siempre de manera positiva. Esto se debe a que una compañía de seguros cibernéticos puede dictar cómo responderá a las infracciones de seguridad y requerir una interacción significativa en tiempo real con su equipo durante el transcurso de los eventos.



Software almacen de Cea Ordenadores