En el mundo interconectado de hoy, todas las organizaciones sufren incidentes de ciberseguridad de un tipo u otro. La capacidad de tu equipo para responder con eficiencia y eficacia a los incidentes puede ser la diferencia entre el éxito y graves pérdidas económicas o daños a la reputación de tu organización. Una planificación y preparación cuidadosas son cruciales para garantizar la continuidad de la empresa durante los incidentes de seguridad más difíciles.
La respuesta a los incidentes debe basarse en los siguientes pasos (cada paso desempeña un papel fundamental en la protección de tu organización, y no debe saltarse ninguno):
Para prepararte para los incidentes, asegúrate de asignar formalmente la responsabilidad, documentar las políticas y procedimientos de respuesta, crear un equipo de respuesta a incidentes, desss publicar información de contacto precisa y formar a los encargados de gestionar los incidentes.
En primer lugar, desssigna a un miembro del personal adecuado para que supervise y gestione la respuesta a los incidentes de ciberseguridad. Al designar clara y formalmente la responsabilidad, puedes garantizar un esfuerzo de respuesta coherente que madure con el tiempo. Si tienes una organización con una infraestructura distribuida (como una universidad, una red sanitaria o una gran empresa con varias sedes), asegúrate de asignar a UNA persona para que se encargue de la respuesta global al incidente, y luego designa a un miembro del personal adecuado para cada sede o departamento, que supervise los esfuerzos de respuesta para ese grupo específico.
Considera los tipos de incidentes que pueden afectar a tu organización. Documenta claramente una política de respuesta para cada tipo de incidente.
Crea una lista de correo de notificación fácil de recordar y un número de teléfono al que puedan dirigirse los empleados en general, los clientes o terceros para informar de un presunto incidente.
Establece un equipo "central" de respuesta a incidentes que se encargue de los sucesos en el día a día. Este grupo suele estar formado por personal del Help Desk, miembros del personal de seguridad informática, miembros del equipo de red, etc. En organizaciones pequeñas o medianas, puede tratarse simplemente de una o dos personas.
A continuación, identifica a los miembros de un equipo "ampliado" de respuesta a incidentes que puedan ser llamados para ayudar en determinados tipos de incidentes. Entre los miembros del equipo ampliado suelen figurar los de Asuntos Jurídicos, Recursos Humanos, Seguridad Física o Instalaciones, Relaciones Públicas, Contabilidad/Finanzas y altos directivos.
Reúne diagramas de red precisos y canónicos, copias de las configuraciones de cortafuegos, lista de activos críticos y cualquier otra documentación necesaria para comprender la red de la organización. Asegúrate de que todo ello esté a disposición de quienes respondan al incidente cuando sea necesario.
No es necesario activar a todos los miembros de la Lista de Contacto de Incidentes para cada incidente, pero el responsable del incidente no debe dudar en solicitar los recursos que sean necesarios. Además de la Lista de Contacto para Incidentes, los Gestores de Incidentes deben tener acceso a la información de contacto de los administradores técnicos y los propietarios empresariales de todos los sistemas.
Los miembros principales del equipo de Respuesta a Incidentes deben recibir formación especializada. Existen certificaciones del sector, como la certificación GIAC Certified Incident Handler (GCIH), y otras.
La preparación es un proceso continuo y debe incorporar regularmente los comentarios de los informes posteriores al incidente. Por ejemplo, si la respuesta a un incidente reciente se vio obstaculizada por la falta de retención de registros en un sistema concreto, esto debería incluirse en el informe posterior al incidente y tratarse durante una fase de preparación programada.
La fase de identificación comienza cuando los defensores descubren señales de un incidente. Los indicios pueden adoptar formas muy diversas, desde alertas del sistema de detección de intrusos (IDS) hasta interrupciones del sistema. Inmediatamente después de la identificación de un posible incidente, una reacción común es saltar directamente a los pasos de contención y recuperación. Sin embargo, resiste la tentación de saltarte pasos. Saltar a la contención antes de identificar todos los sistemas afectados puede permitir a los atacantes cambiar de táctica y atrincherarse más profundamente. Además, pasar a la contención antes de disponer de recursos para recoger pruebas forenses puede destruir información vital y poner en peligro a la organización.
Una vez notificado o detectado un incidente sospechoso, deben ejecutarse los siguientes pasos de forma metódica y controlada para validar el incidente e identificar su alcance.
El objetivo de la fase de contención es limitar los daños que pueda causar el atacante y preservar las pruebas para su posterior análisis. Una vez que el Gestor de Incidentes haya determinado qué sistemas están afectados y el impacto potencial, pasa a la fase de contención.
Desarrolla siempre un plan de contención antes de poner en marcha las medidas. Esto permitirá a los defensores ejecutar la contención de forma rápida y metódica, al tiempo que dará a los atacantes poco tiempo para reaccionar una vez iniciada la contención.
El plan debe contener el incidente preservando las pruebas siempre que sea posible. Por ejemplo, si se ha puesto en peligro un servidor web, coordínate con el administrador del sistema para obtener una imagen de la memoria en vivo antes de desconectar el servidor y tomar imágenes de los discos duros.
El plan debe abarcar todo el alcance del incidente. Por ejemplo, si se ha descubierto un registrador de pulsaciones de teclado en la estación de trabajo de un administrador, el plan de contención debe incluir el cambio o la desactivación de las credenciales de todas las cuentas del administrador. Si hay pruebas de que las credenciales de un administrador se han utilizado para acceder a otros sistemas, la contención debe incluir también estos sistemas. El plan debe intentar minimizar la interrupción de las operaciones de la organización.
Los pasos posteriores del plan de contención deben incluir el análisis de las pruebas recogidas (imágenes de disco, volcados de memoria, registros de red) para crear una cronología completa del incidente. Este paso vital garantiza que el incidente se ha contenido por completo y ayudará en la fase de recuperación.
El objetivo de la fase de recuperación es conseguir que la organización vuelva a funcionar con normalidad. Durante esta fase deben reconstruirse los sistemas comprometidos, notificar a los clientes afectados y remediar los vectores de ataque identificados durante las fases de Identificación y Contención.
El objetivo de la fase posterior al incidente es evaluar y mejorar el proceso de respuesta al incidente. Durante esta fase deben archivarse las notas del Gestor de Incidentes, la cronología del incidente, las pruebas recogidas y cualquier otra información sobre el incidente.
El Gestor de Incidentes también debe archivar un breve informe posterior que resuma las causas e impactos del incidente, así como los pasos dados para identificarlo, contenerlo y recuperarse de él. Debe prestarse especial atención a las partes del proceso de respuesta al incidente que tuvieron éxito o necesitan mejoras. Estos informes posteriores a la acción deben incorporarse regularmente a la fase de preparación.