El plan de respuesta a incidentes: preparación para un día lluvioso


La desafortunada verdad es que, si bien las empresas invierten más en ciberdefensas y se toman la ciberseguridad más en serio que nunca, las infracciones exitosas y los ataques de ransomware van en aumento. Si bien una violación exitosa no es inevitable, cada vez es más probable a pesar de los mejores esfuerzos para evitar que suceda.

Así como no llovía cuando Noé construyó el arca, las empresas deben enfrentar el hecho de que deben preparar, y educar a la organización, un plan de respuesta bien pensado si ocurre un ataque cibernético exitoso. Obviamente, el peor momento para planificar su respuesta a un ciberataque es cuando ocurre.

Con tantas empresas siendo víctimas de ciberataques, ha surgido toda una industria artesanal de servicios de respuesta a incidentes (IR). Miles de compromisos de IR han ayudado a sacar a la luz mejores prácticas y guías de preparación para ayudar a aquellos que aún no han sido víctimas de un ciberataque.

Recientemente, la empresa de seguridad cibernética Cynet proporcionó una Plan de respuesta a incidentes Plantilla de Word para ayudar a las empresas a planificar para este desafortunado suceso.

Planificación para lo peor

El viejo adagio “esperar lo mejor, planificar para lo peor” no es del todo exacto aquí. La mayoría de las empresas están trabajando activamente para protegerse de los ataques cibernéticos y ciertamente no solo esperan lo mejor. Aun así, planificar qué hacer después de la infracción es un esfuerzo que vale la pena para que la empresa pueda entrar en acción de inmediato en lugar de esperar a que se concrete el plan. Cuando se produce una infracción y los atacantes tienen acceso a la red, cada segundo cuenta.

Un plan de IR documenta principalmente funciones y responsabilidades claras para el equipo de respuesta y define el proceso de alto nivel que seguirá el equipo al responder a un incidente cibernético. La plantilla del plan de IR creada por Cynet recomienda seguir el proceso de IR estructurado de 6 pasos definido por el Instituto SANS en su Manual del administrador de incidentesque por cierto, es otro gran recurso de IR.

Los seis pasos descritos son:

  1. Preparación—revisar y codificar una política de seguridad organizacional, realizar una evaluación de riesgos, identificar activos confidenciales, definir cuáles son los incidentes de seguridad críticos en los que el equipo debe enfocarse y crear un Equipo de Respuesta a Incidentes de Seguridad Informática (CSIRT).
  2. Identificación—supervisar los sistemas de TI y detectar desviaciones de las operaciones normales y ver si representan incidentes de seguridad reales. Cuando se descubra un incidente, recopile evidencia adicional, establezca su tipo y gravedad, y documente todo.
  3. Contención— realizar contención a corto plazo, por ejemplo, aislando el segmento de red que está bajo ataque. Luego, concéntrese en la contención a largo plazo, que implica arreglos temporales para permitir que los sistemas se utilicen en producción, mientras se reconstruyen sistemas limpios.
  4. Erradicación—elimine el malware de todos los sistemas afectados, identifique la causa raíz del ataque y tome medidas para evitar ataques similares en el futuro.
  5. Recuperación—poner los sistemas de producción afectados nuevamente en línea con cuidado, para evitar ataques adicionales. Pruebe, verifique y supervise los sistemas afectados para asegurarse de que vuelvan a la actividad normal.
  6. Lecciones aprendidas—a más tardar dos semanas después del final del incidente, realizar una retrospectiva del incidente. Prepare la documentación completa del incidente, investigue más a fondo el incidente, comprenda qué se hizo para contenerlo y si se podría mejorar algo en el proceso de respuesta al incidente.

La plantilla del plan IR ayuda a las organizaciones a codificar lo anterior en un plan viable que se puede compartir en toda la organización. La plantilla del plan de RI de Cynet proporciona una lista de verificación para cada uno de los pasos de RI que, por supuesto, puede y debe personalizarse según las circunstancias particulares de cada empresa.

Además, la plantilla del plan de IR de Cynet profundiza en la estructura del equipo de IR junto con las funciones y responsabilidades para evitar que todos corran con el pelo en llamas durante el frenético esfuerzo por recuperarse de un incidente cibernético. Con muchas piezas en movimiento y tareas que realizar, es fundamental que el personal se prepare y sepa lo que se espera de ellos.

Puede descarga la plantilla de Word aquí



ttn-es-57