Acceso Inicial
Si un atacante compromete la red interna enviando un correo de phishing con un adjunto malicioso y nadie se da cuenta hasta que se encriptan los servidores, ¿en qué nivel de madurez está la empresa?
Nivel 1 (Inicial / Reactivo), porque no existen controles de detección previos y la respuesta solo ocurre cuando el impacto es total.
Un área de la empresa decide instalar un antivirus comercial en sus equipos locales para bloquear archivos adjuntos maliciosos de phishing, pero el resto de las sucursales no lo tiene. ¿Por qué es Nivel 2?
Porque la protección se gestiona de manera reactiva o aislada a nivel de un proyecto o área local, sin una estandarización institucional.
¿Cómo previene y detecta el Acceso Inicial por phishing una organización que cuenta con procesos estandarizados en este nivel?
Cuenta con una pasarela de correo (Secure Email Gateway) institucional con reglas globales de filtrado, un SOC que analiza enlaces sospechosos y capacitaciones periódicas a todos los empleados.
¿Qué métricas utiliza el SOC en este nivel para medir la efectividad contra los ataques de Acceso Inicial?
Mide la tasa de apertura de correos sospechosos, el porcentaje de falsos positivos en el filtro de correo y el tiempo exacto desde que llega el phishing hasta que el enlace es bloqueado.
¿Cómo responde automáticamente una empresa de Nivel 5 ante una alerta confirmada de phishing?
Un playbook automatizado (SOAR) purga el correo de todas las bandejas de entrada de la empresa al mismo tiempo, bloquea la IP/dominio en el Firewall perimetral y manda a cuarentena el host del usuario que hizo clic.