Trend Micro Simply Security

¿Qué pueden aprender los responsables de VTech?

La brecha que sufrió VTech por parte de un cibercriminal, cuya identidad aún se desconoce, sigue teniendo repercusiones. Después de los reportes iniciales que hablaban de una brecha que habría expuesto datos personalmente identificables de sus clientes (a pesar de que VTech declarara lo contrario), el hacker divulgó un número limitado de mensajes personales y fotos de los clientes para probar que estaba por comprometer los datos que tenía en su poder.

Ha sido una semana terrible para VTech. Sin duda, es la víctima de un crimen. No obstante, el problema más inmediato es la repercusión potencial que esto tendrá para sus clientes y sus hijos. Y es aquí donde la respuesta inicial de VTech no ha hecho otra cosa que empeorar las cosas. Por suerte, han hecho ajustes en el curso de las últimas 24 horas y están siendo más abiertos en cuanto a la información que proporcionan.

Aprendamos algo de esto. A continuación presentamos lo que usted puede hacer  para asegurarse de que su organización esté mejor preparada para enfrentar una brecha.

Establezca una comunicación abierta

Ahora es el momento de crear un plan de comunicación que pueda poner en práctica después de sufrir una brecha. Cuando usted se enfrenta a las consecuencias de una brecha, lo que quiere es poder implementar un plan detallado que sea adecuado para la situación.

Este es un resumen básico de lo que va a necesitar:

  • Un correo electrónico abierto y honesto para sus clientes que incluya
    • información específica de los datos que fueron robados
    • información de contacto para hablar con alguien que esté completamente informado de la situación y esté listo para responder de inmediato a sus preocupaciones (por ejemplo, servicio a clientes)
    • una disculpa
    • un cronograma de las comunicaciones futuras
  • Un comunicado de prensa que contenga
    • información específica de los datos que fueron robados
    • las acciones que han llevado a cabo para informar a sus clientes
    • un contacto para la prensa que pueda hacer comentarios y proporcionar información adicional
  • Una comunicación abierta y honesta al interior de la empresa que contenga
    • información específica de los datos que fueron robados
    • lo que se conoce hasta ahora sobre los mecanismos de la brecha
    • los pasos que ya se han tomado en respuesta a la brecha
    • los pasos que se planean dar
    • quién es el encargado de la comunicación
  • Una URL pública que pueda utilizar para reunir información (como Preguntas Frecuentes)
    • éste debe actualizarse constantemente a medida que evolucione la situación
    • utilícelo como el recurso al que se puede canalizar a todos
    • no lo oculte en un sitio corporativo. Asegúrese de que sea visible desde donde sus clientes lo visiten

Estos puntos deben escribirse con anticipación en una plantilla que pueda adaptarse. Recuerde que esto es adicional a la respuesta interna que usted requerirá.

Cuando se dé cuenta de que ha sido atacado, estos son los pasos que necesita dar para comunicarse de manera efectiva:

  • reconozca que ha habido una brecha y que la está investigando activamente
  • identifique e informe a los clientes afectados
  • publique la URL pública para conocimiento general
  • informe y dé indicaciones al personal interno
  • emita un comunicado de prensa con información crítica y un punto de contacto

Todo esto debe ser redactado en un tono que sea claro y comprensivo. No enrede las cosas innecesariamente (por ejemplo, la redefinición que hizo VTech de la información personalmente identificable), no trate de desviar la culpa ni enfatice el hecho de que usted también es una víctima. Usted puede ofrecer una explicación y brindar más detalles posteriormente de cómo sucedió todo.

El objetivo inmediato es reducir el impacto de la brecha

Esto significa asegurar que sus clientes cuenten con la información necesaria tan pronto como sea posible. Si necesitan realizar acciones de algún tipo (cancelar tarjetas de crédito, cambiar las credenciales de sus cuentas, etc.), usted querrá hacérselo saber para que puedan reducir las posibilidades de que algo malo suceda.

Actúe de manera decisiva

Una vez que comienza a responder a un incidente, el proceso tiene 5 pasos clave:

  1. detectar
  2. analizar
  3. contener
  4. erradicar
  5. recuperarse

Estos pasos están marcados por “preparar” y “mejorar/aprender” y juntos forman la base de un proceso de respuesta a incidentes (RI) sólido.

A menudo, los mayores desafíos se enfrentan en el paso “contener”. Es cuando el equipo de respuesta a incidentes (RI) se enfrenta a una decisión difícil que impactará directamente a la empresa.

VTech hizo la siguiente actualización en sus Preguntas Frecuentes del 1 de diciembre de 2015:

“Como una medida precautoria, hemos suspendido el Learning Lodge, la red Kid Connect y los siguientes sitios Web de manera temporal mientras realizamos una evaluación exhaustiva de la seguridad”.

Esto es algo que ninguna organización quisiera tener que escribir. Pero es 100% la acción adecuada a pesar del impacto potencial en el resultado final.

¿Cuándo es el momento adecuado para hacer este tipo de llamado? No hay nada escrito en piedra. Es un juicio personal fundamentado en la información que usted tiene en el momento.

Para hacerlo más sencillo, usted puede establecer los posibles escenarios con anticipación. Este es un ejercicio extremadamente complicado ya que supone que su trabajo de proteger a la organización ha fracasado. Pero es crítico trabajar en estos escenarios en la teoría y en la práctica (algo que se conoce como el día del juego) con el fin de escribir la guía que servirá para responder a los incidentes.

Parte de este ejercicio es determinar quién dentro de la organización tiene la autoridad necesaria para tomar la decisión de cerrar los servicios. Esperamos que nunca tenga que hacer esa llamada, pero si usted llega a ese extremo, necesita saber a quién llamar.

Todos los procesos que ha implementado en su práctica de seguridad se conjugan para nunca tener que hacer un llamado a cerrar los servicios. Si usted es atacado y tiene que hacer ese llamado, es mejor que lo haga de acuerdo con la guía que escribió con anticipación.

Conozca su Exposición

Lo más importante que puede hacer ahora para reducir el impacto de ser hackeado es revisar los datos que usted esté reuniendo y almacenando. Al crear un inventario del tipo de datos que tiene, es mucho más sencillo evaluar el riesgo que enfrenta.

Con la lista en la mano, usted podrá realizar un ejercicio muy sencillo. Ponga cada punto de datos en su propia nota adhesiva. Use estas notas para combinar varios puntos de datos para crear diferentes puntos de vista.

El objetivo de este juego de organizar las tarjetas es encontrar qué puntos de datos implican más riesgos para su empresa cuando se vinculan a otros puntos de datos.

Si tomamos el ejemplo de VTech, su tienda de aplicaciones requiere de una dirección para facturar, la aplicación social vincula a los padres e hijos, y el servidor de mensajería almacena temporalmente las fotos y los mensajes privados. Cada uno de estos puntos de datos implica un riesgo. Combinado, ese riesgo aumenta considerablemente.

Hacer un mapa de todas las conexiones posibles entre todos los puntos de datos que usted reúna y almacene que le permita identificar mejor los riesgos y definir las mitigaciones adecuadas.

Esas mitigaciones podrían implicar:

  • no almacenar ningún tipo de dato
  • aislar los datos en sistemas backend separados
  • asegurar que su práctica de monitoreo esté buscando señales de advertencia de la agregación de datos

Hasta que usted haga un mapa de todo su panorama de datos que almacena y reúne, no sabrá el nivel de riesgo que está enfrentando. Sin ese conocimiento, ¿cómo puede formular una defensa efectiva?

Prepárese para lo Peor

Nadie quiere sufrir un ataque; es la peor pesadilla de un equipo de seguridad. Usted puede reducir el impacto de una brecha si toma las siguientes medidas.

  • Establezca un plan de comunicación. Cree algunas plantillas para las comunicaciones clave de modo que sólo tenga que añadir los detalles durante el incidente para reducir su tiempo de respuesta.
  • La práctica y la planeación son vitales. Trabaje en los posibles escenarios de respuesta con anticipación. Practíquelos. Asegúrese de que sabe quién tiene la autoridad para suspender los servicios si necesita dar un paso drástico para contener la brecha.
  • Conozca qué datos está reuniendo y dónde los está almacenando. Entienda cómo esos puntos de datos pueden combinarse y cómo esas combinaciones afectan el riesgo (y el valor) de los datos. Añada protecciones adicionales según sea conveniente.

Cuando usted se concentra únicamente en mantener las luces encendidas o peor aún, en restablecerlas, lo último que quiere hacer es precipitarse. Redactar una guía clara de todos los aspectos de la respuesta a incidentes es la clave para brindar una respuesta exitosa.

¿Cuáles son sus recomendaciones para lograr una respuesta a incidentes exitosa?

Posted

in

by

Trend Micro

Tags:

, ,

Comments

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.