Cómo crear un plan de respuesta a incidentes desde el …


Seguridad 101: a raíz de un incidente, es importante cubrir todas sus bases y tratar su prepare de IR como un trabajo en constante evolución.

(imagen de Onypix, a través de Adobe Stock)

(imagen de Onypix, a través de Adobe Stock)

Toda organización que supervisa las amenazas a la seguridad debe tener un plan para manejar una amenaza una vez que se descubre. Evitar las ciberamenazas por completo sería suitable, pero esa no es la realidad. Un plan de respuesta a incidentes (IR) está diseñado para documentar los planes de su organización sobre lo que debe hacer si ocurre un incidente de seguridad grave.

Algunas organizaciones elaboran planes de RI porque las agencias reguladoras les dicen que lo hagan. Otros lo hacen porque saben que la eficiencia en la respuesta a un incidente es un element importante para reducir su impacto. Se producirán incidentes de seguridad, y el objetivo de un plan de RI es reducir el impacto negativo en la organización en el caso inescapable de un ciberataque.

Estos son los cinco pasos que los profesionales de la seguridad deben seguir para diseñar e implementar un plan de RI operativo y efectivo.

Construya la práctica de RI
Un buen punto de partida es crear el propio documento del plan de RI, que comienza con la construcción de una visión para la práctica de RI. El documento debe contener los siguientes componentes:

  • Declaración de misión de RI: Esto racionaliza la necesidad de un approach de RI en primer lugar.
  • Funciones y responsabilidades: esta sección menciona explícitamente quién está involucrado en el prepare de RI y su razón para estar allí.
  • Declaración del alcance del incidente: indica qué tipo de situaciones están dentro del alcance de declarar un incidente y cuáles no.

A medida que se desarrolla el resto del plan y el programa de RI madura a largo plazo, estas secciones pueden modificarse y ampliarse.

Asegúrese de que los incidentes puedan detectarse
No es el trabajo del equipo de monitoreo declarar un incidente, pero es su trabajo asegurarse de que las alertas de interés sean examinadas y escaladas adecuadamente. Ya sea que el monitoreo se realice internamente o a través de un proveedor de servicios, el prepare de RI debe definir un proceso de manejo, investigación y escalada de incidentes de interés para garantizar que las alertas se trasladen correcta y rápidamente al líder del equipo de RI.

Asegúrese de incluir solo las amenazas que su equipo de seguridad tenga medios para detectar en el alcance de su prepare de IR. Por ejemplo, si su plan establece que la exfiltración de datos de una determinada base de datos califica como un incidente, pero no tiene una tecnología de detección para ver dicha actividad, entonces ese incidente debe eliminarse del alcance.

Decidir ingresar formalmente al proceso de RI
La declaración de un incidente no puede ser trivial, ya que ejecutar el proceso de RI implicará más trabajo y más costo para el negocio. Se debe declarar un incidente cuando la empresa ha decidido que este umbral de ataque es un riesgo inaceptable y está dispuesta a invertir para minimizar el impacto.

Una sola persona debe asumir el papel de líder de RI en el momento en que se intensifica un incidente. El líder del equipo de RI, en colaboración con el equipo de ciberseguridad más amplio, es responsable de la declaración de incidentes. El strategy describirá el proceso para que el líder del equipo de RI lo haga.

Primero, el líder de RI debe validar aún más el incidente revisando los datos capturados del equipo de monitoreo y adquiriendo nueva información según sea necesario. Luego, el líder puede convocar una reunión con partes interesadas definidas con el fin de declarar un incidente. Identificar una sala de guerra, virtual o física, para celebrar esta reunión, así como métodos alternativos de comunicación si los métodos primarios no están disponibles.

Si se toma la decisión de declarar un incidente, el líder del equipo de RI ahora debe ejecutar el resto del system de RI tal como se diseñó. Si el equipo determine no declarar un incidente, el líder del equipo de RI debe crear un informe posterior a la acción y marcar formalmente el asunto como cerrado.

Ejecute el Strategy de RI
Una vez que se ha declarado un incidente, es hora de actuar. Las acciones concisas, metódicas, bien comunicadas y coordinadas son clave para reducir el impacto.

Un program de RI necesita un esquema de flujo de proceso, que debe lograr tanto la comunicación del approach como los pasos necesarios para responder a un incidente. El inicio del flujo es la escalada del equipo de monitoreo y el proceso official de declaración de incidentes. Si se declara un incidente, el flujo describe los pasos para contener la amenaza y recuperarse.

Cree una lista de partes interesadas clave para cada tipo de incidente para que el equipo de RI pueda identificar rápidamente quiénes están involucrados, en qué momento del proceso se involucran y qué acciones deben tomarse. Enumerar los nombres reales y los contactos actuales, no solo los roles, es una mejor práctica para garantizar la responsabilidad y mantener que el prepare de RI se mantenga actualizado. El equipo de RI es responsable de poseer y mantener el documento del system.

Una vez que se declara un incidente, es hora de que el líder de RI y su equipo actúen. La contención debe ser la prioridad, ya que el equipo busca aislar a los usuarios, sistemas, aplicaciones u otros recursos afectados. El strategy de RI debe considerar la etapa y la gravedad del ataque para establecer la estrategia de contención, y debe definir cómo ejecutar la estrategia de contención y quién tiene la autoridad.

Una vez que el incidente se ha contenido adecuadamente, es hora de comenzar a trabajar en la mitigación. La mitigación es el conjunto closing de acciones para devolver un sistema / recurso al uso typical. Las acciones de mitigación variarán según el tipo de incidente y la gravedad. Por ejemplo, la mitigación puede implicar simplemente volver a crear una imagen de un sistema para restaurarlo a una configuración previa al ataque. La mitigación también podría incluir documentación antes de la creación de imágenes para explorar la causa raíz del ataque. El program de RI debe incluir acciones de mitigación explícitas, basadas en la gravedad y el tipo de incidente.

Pasar de bueno a excelente
Un system de RI debe incluir un proceso de aprendizaje formal posterior al incidente que tenga como objetivo reducir la probabilidad de recurrencia. Además de tratar de evitar tener el mismo incidente dos veces, el aprendizaje proporciona supervisión para la preparación del equipo, lo que le permite ajustar la coordinación y la toma de decisiones para declarar o actuar sobre un incidente. Asegúrese de que cualquier cambio en el proceso de RI se actualice en el documento del plan.

Eric Ahlm es un director de investigación senior de Gartner, Inc. que cubre las tendencias disruptivas que afectan la seguridad de múltiples mercados de seguridad, incluida la defensa avanzada contra amenazas, seguridad de dispositivos móviles, BYOD, virtualización de seguridad, seguridad como servicio, inteligencia de amenazas, … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia original