Facebook Linkedin Twitter Instagram Youtube Telegram

Más del 50% de las solicitudes de Respuesta a Incidentes de seguridad se producen cuando el daño ya está hecho

Alrededor del 56% de las solicitudes de Respuesta a Incidentes (IR, por sus siglas en inglés) procesadas por los expertos en seguridad de Kaspersky en 2018 se produjeron después de que la organización afectada experimentara un ataque con consecuencias visibles, como transferencias de dinero no autorizadas, estaciones de trabajo cifradas por ransomware e indisponibilidad del servicio.

A menudo se asume que la respuesta a los incidentes de seguridad sólo es necesaria en los casos en que el daño por un ciberataque ya se ha producido y hay que seguir investigando. Sin embargo, el análisis de los múltiples casos en los que participaron los especialistas en seguridad de Kaspersky durante el 2018 muestra que este tipo de servicios no sólo pueden servir para investigar, sino también como herramienta para detectar un ataque en su fase más temprana y prevenir daños.

En 2018, el 22% de los casos IR se iniciaron tras la detección de potenciales actividades maliciosas en la red, y otro 22% tras la detección de un archivo malicioso en la red. Sin ningún otro signo que indique una brecha de seguridad, ambos casos pueden sugerir que hay un ataque en curso. Sin embargo, no todos los equipos de seguridad corporativos pueden saber si las herramientas de seguridad automatizadas ya han detectado y detenido la actividad maliciosa, o si se trata sólo del comienzo de una operación maliciosa, invisible y de mayor envergadura en la red y se necesitan especialistas externos. Una evaluación incorrecta hace que la actividad maliciosa se convierta en un ciberataque grave con consecuencias reales. En 2018, el 26% de los casos investigados «de manera tardía» fueron causados por infección con malware de encriptación, mientras que el 11% de los ataques derivaron en la sustracción de dinero. El 19% de los casos «tardíos» fueron el resultado de la detección de spam de una cuenta de correo electrónico corporativa, la detección de indisponibilidad del servicio o la detección de una brecha de seguridad exitosa.

«Esta situación indica que en muchas empresas existe todavía margen de mejora en cuanto a los métodos de detección y los procedimientos de respuesta a incidentes. Cuanto antes se detecte un ataque, menores serán las consecuencias. Pero, basándonos en nuestra experiencia, las organizaciones no suelen prestar la debida atención a aquellos elementos que indican ataques graves, y la llamada a nuestro equipo de respuesta a incidentes se produce cuando ya es demasiado tarde para prevenir daños. Por otro lado, vemos que muchas compañías han aprendido a evaluar los signos de un ciberataque grave en su red y hemos podido prevenir lo que podrían haber sido incidentes más graves. Hacemos un llamamiento a otras organizaciones para que consideren esto como caso de éxito», señala Ayman Shaaban, experto en seguridad de Kaspersky.

Otros hallazgos del informe incluyen:

  • El 81% de las organizaciones que proporcionaron datos para el análisis tenían indicadores de actividad maliciosa en su red interna.
  • El 34% de las organizaciones mostraron signos de un ataque dirigido avanzado.
  • El 54,2% de las organizaciones financieras fueron atacadas por un grupo o grupos de amenaza persistente avanzada (APT).

Para responder eficazmente a los incidentes, Kaspersky recomienda:

  • Asegúrese de que la empresa tenga un equipo dedicado (al menos un empleado) responsable de los problemas de seguridad de TI.
  • Implemente sistemas de backup para activos críticos.
  • Para responder a tiempo a un ciberataque, combine un equipo interno de IR como primera línea de respuesta con soporte de compañías externas para escalar incidentes más complejos.
  • Desarrolle un plan IR con orientación y procedimientos detallados para los diferentes tipos de ciberataques.
  • Proporcione a sus empleados un programa de formación en concienciación para educarlos en materia de higiene digital y explicarles cómo pueden reconocer y evitar correos electrónicos o enlaces potencialmente maliciosos.
  • Implemente procedimientos de gestión de parches para tener el software actualizado.
  • Realice regularmente una evaluación de la seguridad de su infraestructura de TI.
Picture of Samuel Rodríguez

Samuel Rodríguez

Periodista. Al frente de Ecommerce News desde 2012. Inquieto. Por el camino he creado otros medios como @BigDataMagazine y @CybersecurityNews. Organizador de cientos de eventos profesionales. Ahora con un pie en Portugal y otro en México… Muy del @GetafeCF

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

This site uses Akismet to reduce spam. Learn how your comment data is processed.

TE PUEDE GUSTAR

RECIBE LA NEWSLETTER

*Email: *Nombre apellidos: *Empresa: Cargo: Sector:

 
Please don't insert text in the box below!

ARTÍCULOS MÁS RECIENTES

ESCUCHA NUESTRO PODCAST

SÍGUENOS EN RRSS

MÁS COMENTADOS

Scroll al inicio
Powered by  GDPR Cookie Compliance
Resumen de privacidad

Las cookies y otras tecnologías similares son una parte esencial de cómo funciona nuestra web. El objetivo principal de las cookies es que tu experiencia de navegación sea más cómoda y eficiente y poder mejorar nuestros servicios y la propia web. Aquí podrás obtener toda la información sobre las cookies que utilizamos y podrás activar y/o desactivar las mismas de acuerdo con tus preferencias, salvo aquellas Cookies que son estrictamente necesarias para el funcionamiento de la web de CyberSecurityNews. Ten en cuenta que el bloqueo de algunas cookies puede afectar tu experiencia en la web y el funcionamiento de la misma. Al pulsar “Guardar cambios”, se guardará la selección de cookies que has realizado. Si no has seleccionado ninguna opción, pulsar este botón equivaldrá a rechazar todas las cookies. Para más información puedes visitar nuestra Políticas de Cookies. Podrás cambiar en cualquier momento tus preferencias de cookies pinchando en el enlace “Preferencias de cookies” situado en la parte inferior de nuestra web.