Y en el proceso de recuperación del mismo, como también en la identificación de mejoras que permitan prevenir otros a futuro. Dado que todo el trabajo se realiza siguiendo estrictos procedimientos forenses y respetando requerimientos regulatorios y normativos, contar con este tipo de contratos fortalece los protocolos de respuesta que puedan requerir terceros a la compañía; y de sufrir un ataque los informes elaborados pueden presentarse ante reguladores, compañías de seguros y/u otros terceros relevantes.
El nuevo servicio está coordinado por Ana López Espinar, Socia líder de Forensic Services y Co-líder en América del Sur, y Pablo F. Paccapelo, Director de Forensic Services, junto con Nicolás Manavella, socio líder de Ciberseguridad. “Según nuestra última encuesta regional: “La triple amenaza en las Américas”, el 83% de las compañías sufrió un ciberataque el año pasado. No se trata de si a mi compañía le sucederá, sino de cuándo. Y en ese momento, lo que hará la diferencia será cuán preparados nos encuentre y cuán rápido y efectivamente reaccionemos”, explica López Espinar.
KPMG Argentina es considerada el Centro de Excelencia de servicios de Forensic de KPMG para Sudamérica. Basados en la experiencia de los especialistas, y dependiendo de las características de cada caso a ser investigado, el nuevo servicio “Cyber Incident Response 360°” centra sus acciones y procedimientos en las siguientes fases operativas:
Fase 1: Entendimiento inicial. Lograr un rápido entendimiento preliminar del estado de situación en todo lo relacionado al ataque. Identificar infraestructura de sistemas, de seguridad y de redes involucrada, fuentes de evidencia digital relevantes, deadlines críticos y cuestiones regulatorias y/o de cumplimiento relacionadas al incidente.
Fase 2: Análisis Forense. Adquirir y analizar la evidencia digital, a fin de identificar IoCs (indicadores de compromiso), actividades sospechosas, comandos ejecutados, logs de auditoría, técnicas de persistencia, memoria RAM, técnicas de sandboxing e ingeniería inversa, entre otros. Elaboración de informe forense.
Fase 3 (opcional): Threat Hunting. Orientado a analizar el tráfico de red; monitorear, analizar y escalar alertas y elaborar el informe de monitoreo.
Fase 4 (opcional): Relevamiento de infraestructura y hardening. Permite analizar la red perimetral para identificar potenciales vectores de ingreso; relevar la red interna para identificar las debilidades que pudieran haber sido aprovechadas; relevar el Active Directory; relevar las configuraciones de seguridad en servidores y elaborar un informe con los hallazgos.