Cómo deberían responder los MSP a las filtraciones de datos

Los Proveedores de Servicios Gestionados (MSP) deben prepararse y responder a las violaciones de seguridad, y para ello necesitan un plan de respuesta a filtraciones de datos detallado para protegerse contra intrusiones y proporcionar directrices sobre qué hacer en caso de sospecha o confirmación de una intrusión. Además, hay que prevenir o evitar estas violaciones en la medida de lo posible, y para ello existen herramientas como las VPN, programas de gestión de vulnerabilidades, monitoreo, mejoras en los sistemas de autenticación, etc.

Los MSP no solo deben tener un plan de respuesta a incidentes para su organización, también crear uno para sus clientes. Este plan debe ser parte de una estrategia de continuidad del negocio y recuperación de desastres o BCDR (Business Continuity & Disaster Recovery). De hecho, la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) aconseja a los MSP que comprendan y gestionen sus riesgos de la cadena de suministro y que implementen evaluaciones de riesgos.

Y es que, estos proveedores, son objetivos principales para los atacantes sofisticados y las bandas de ransomware debido a que proporcionan un camino natural a sus clientes, es decir, atacando el MSP se puede tener acceso a gran número de organizaciones cliente de este MSP.

Cómo responder a las filtraciones de datos desde un MSP

Ningún MSP es inmune a los ataques de intrusos. Por ello, es crucial tener un plan de respuesta a incidentes que se activa desde el momento en que se sospecha una violación, lo que promete reducir el impacto de una intrusión, y que consiste en 6 pasos:

1. Bloquear inmediatamente todos los nodos y puertos afectados para que el taque no tenga consecuencias mayores, afectando a toda la infraestructura del MSP y a los clientes del mismo.
2. Movilizar a los principales sectores implicados en la respuesta a incidentes, incluyendo a los interesados de negocio y TI, asesoría jurídica, aseguradoras y fuerzas del orden para denunciar lo ocurrido.
3. Evaluar y documentar los datos violados, identificando así el alcance e impacto del ataque. Además, el MSP debería ser transparente con el cliente, informando de todo lo sucedido y no ocultando información para preservar su reputación, lo cual podría tener consecuencias contrarias a largo plazo.
4. Determinar la causa raíz de la violación y los pasos para mitigar ataques similares que se pudieran dar en el futuro.
5. Calcular el coste de la violación.
6. Revisar el plan de respuesta a incidentes para asegurar que se han completado todas las acciones. Y si es necesario, actualizar el mismo con la experiencia aprendida, mejorando así las respuestas en el futuro, sin cometer los mismos errores.

Por último, también existen recursos como los de ISAO (Information Sharing and Analysis Organization), donde existe una gran comunidad de expertos que comparten información sobre las nuevas amenazas.