[Template] Respuesta a incidentes para presentación de gestión

Se producen incidentes de seguridad. No es una cuestión de “si”, sino de “cuándo”. Es por eso que implementó productos y procedimientos de seguridad para optimizar el proceso de respuesta a incidentes (IR).

Sin embargo, muchos profesionales de seguridad que están haciendo un excelente trabajo en el manejo de incidentes encuentran que comunicar de manera efectiva el proceso en curso con su gerencia es una tarea mucho más desafiante.

¿Se siente familiar?

En muchas organizaciones, los líderes no son expertos en seguridad y no están interesados ​​en los detalles relacionados con todos los bits y bytes que domina el profesional de la seguridad.

Afortunadamente, hay una plantilla que los líderes de seguridad pueden usar cuando se presentan a la gerencia. se llama el Informe de IR para la plantilla de gestiónbrindando a los CISO y CIO una herramienta clara e intuitiva para informar tanto el proceso de IR en curso como su conclusión.

La plantilla IR Reporting for Management permite que los CISO y los CIO se comuniquen con los dos puntos clave que preocupan a la administración: la garantía de que el incidente está bajo control y una comprensión clara de las implicaciones y la causa raíz.

El control es un aspecto clave de los procesos de IR, en el sentido de que, en un momento dado, hay total transparencia de lo que se aborda, lo que se sabe y debe remediarse, y qué investigación adicional se necesita para revelar partes del ataque que son todavía desconocido.

La gerencia no piensa en términos de troyanos, exploits y movimientos laterales, sino que piensa en términos de productividad comercial: tiempo de inactividad, horas de trabajo, pérdida de datos confidenciales.

Mapear una descripción de alto nivel de la ruta del ataque al daño causado es fundamental para obtener la comprensión y la participación de la gerencia, especialmente si el proceso de RI requiere gastos adicionales.

La plantilla IR Reporting for Management sigue el marco SANSNIST IR y lo ayudará a guiar a su administración a través de las siguientes etapas:

Identificación

La presencia del atacante se detecta sin lugar a dudas. Siga la plantilla para responder preguntas clave:

• ¿La detección se realizó internamente o por un tercero?
• ¿Qué tan maduro es el ataque (en términos de su progreso a lo largo de la cadena de muerte)?
• ¿Cuál es el riesgo estimado?
• ¿Se tomarán los siguientes pasos con recursos internos o es necesario contratar a un proveedor de servicios?

Contención

Primeros auxilios para detener el sangrado inmediato antes de cualquier investigación adicional, la causa raíz del ataque, la cantidad de entidades desconectadas (puntos finales, servidores, cuentas de usuario), el estado actual y los pasos a seguir.

Erradicación

Limpieza completa de toda la infraestructura y actividades maliciosas, un informe completo sobre la ruta del ataque y los objetivos supuestos, el impacto comercial general (horas-hombre, datos perdidos, implicaciones regulatorias y otros según el contexto variable).

Recuperación

Tasa de recuperación en términos de terminales, servidores, aplicaciones, cargas de trabajo en la nube y datos.

Lecciones aprendidas

¿Cómo ocurrió ese ataque? ¿Fue la falta de tecnología de seguridad adecuada, prácticas laborales inseguras o algo más? ¿Y cómo podemos reparar estos problemas? Proporcionar una reflexión sobre las etapas anteriores a lo largo de la línea de tiempo del proceso de RI, buscando qué preservar y qué mejorar.

Naturalmente, no existe una solución única para todos en un incidente de seguridad. Por ejemplo, puede haber casos en los que la identificación y la contención se lleven a cabo casi instantáneamente al mismo tiempo, mientras que en otros eventos la contención puede demorar más, requiriendo varias presentaciones sobre su estado provisional. Por eso esta plantilla es modular y se puede ajustar fácilmente a cualquier variante.

La comunicación con la gerencia no es agradable, sino una parte crítica del proceso de IR en sí. La plantilla definitiva de IR Reporting to Management ayuda a los líderes del equipo de seguridad a hacer que sus esfuerzos y resultados sean claros para su administración.

Descarga aquí la plantilla de Reporte a Gerencia de IR Definitivo.