La contención en la gestión de incidentes de seguridad
Share
Por: Manuel Tenelanda S., Auditor de TI y Líder de Seguridad y Control, La Fabril S.A.
En la gestión de riesgos se establecen los principios de diseño e implementación de controles clasificados por categorías como preventivos, correctivos, manuales o automáticos, cada uno desempeñando un rol específico en la protección contra amenazas cibernéticas. Los controles preventivos, por ejemplo, buscan evitar que se materialicen los riesgos, mientras que los correctivos se activan para remediar las consecuencias una vez que el riesgo se ha materializado.
Cuando enfrentamos un incidente de seguridad —es decir, una brecha o debilidad que ha sido explotada por un actor malicioso— y los controles preventivos no han logrado detener la amenaza, las estrategias de detección y contención son los pasos que se deben seguir. La contención en la gestión de incidentes de ciberseguridad minimiza los daños potenciales. Al limitar rápidamente la propagación de un incidente cibernético, es posible reducir los costos asociados con la recuperación y evitar daños mayores a la reputación de la organización. La contención efectiva también disminuye el tiempo de inactividad de los sistemas afectados, facilitando una pronta restauración de la operatividad normal de la empresa.
Sin embargo, antes de poder mitigar, reparar o corregir cualquier incidencia, es imprescindible haberla identificado, analizado y cuantificado de forma sistémica. De la experiencia, realizando auditorías forenses de TI, me he encontrado con la necesidad de tomar diversas acciones correctivas que incluyen desde retirar permisos innecesarios hasta activar registros de logs, mejorar términos contractuales con colaboradores, proveedores o clientes, suscribir contratos de confidencialidad y fortalecer las políticas de seguridad de la organización, entre otras medidas.
Estas acciones preventivas y correctivas han permitido evitar que las pérdidas, el perjuicio o la exposición sea mayor para la organización. Además, han sido fundamentales para preparar y concienciar a las áreas impactadas sobre los riesgos latentes que podrían afectar negativamente la operación. También es importante disponer de procesos claros, políticas de seguridad periódicamente revisadas por los líderes responsables y asegurar que las áreas de control validen su cumplimiento.
Un aspecto clave también que vale la pena citar, en la gestión de incidentes de ciberseguridad es que los controles implementados durante la fase de contención pueden servir como elementos de apoyo en posibles acciones legales o reclamaciones presentadas a compañías aseguradoras.
