Contar con un plan detallado de respuesta a incidentes le permite reaccionar de forma inteligente y estructurada ante ataques a sus sitios o aplicaciones web.
¿Por qué necesito un plan de respuesta a incidentes?
¿La idea de que su negocio sea hackeado le hace sentir un poco mareado? A nadie le gusta pensar en el peor de los casos. Sin embargo, comprender los riesgos y prepararse para los diferentes tipos de incidentes es la mejor manera de mantenerse al tanto de las amenazas.
Cada organización debe tener un plan de respuesta a incidentes y revisarlo regularmente. Cualquiera puede convertirse en víctima de los hackers, independientemente del tamaño de la empresa o de la industria. Incluso si usted no considera su negocio un objetivo atractivo para los hackers o no ha experimentado una violación de seguridad, más vale prevenir que curar.
Plan de respuesta a incidentes: Alerta
La preparación de un plan de respuesta a incidentes beneficiará a su empresa de (al menos) dos maneras. En primer lugar, podrá abordar los incidentes de seguridad con confianza y reaccionar rápida y eficazmente. Además, la creación de un plan de respuesta a incidentes también aumentará la conciencia de seguridad dentro de su organización.
Conceptos básicos del plan de respuesta a incidentes
Organización y funciones
La mayoría de los planes de respuesta a incidentes siguen la misma estructura, pero el contenido de cada plan individual varía en función del tipo y tamaño de la organización y de la tecnología utilizada.
Las organizaciones más grandes a menudo cuentan con un equipo de respuesta a incidentes de seguridad (SIRT) dedicado que trabaja exclusivamente con el análisis de amenazas y el manejo de incidentes de seguridad. Esto a menudo no es una opción para las empresas más pequeñas, por lo que desarrollar un plan de respuesta a incidentes es una excelente oportunidad para planificar y asignar funciones y responsabilidades temporales de respuesta a incidentes.
La preparación de la organización para la respuesta a incidentes incluye decidir quién está de guardia, cómo debe escalarse un incidente y cómo debe fluir la información entre los departamentos técnicos, de relaciones públicas y legales. Cuando se trata de la respuesta a incidentes y la comunicación, es importante tener en cuenta que la transparencia es extremadamente importante y, si se procesan los datos de los ciudadanos de la UE, requerida por el GDPR. Puede ser tentador ocultar un incidente de seguridad para evitar la mala voluntad, pero no es de extrañar que esto tienda a resultar contraproducente y a tener un efecto negativo en la reputación y la fiabilidad de la marca. (Escribimos sobre algunos ejemplos de relaciones públicas de respuesta a incidentes exitosos y una conocida historia de advertencia en nuestro artículo sobre Cuatro modelos de roles de seguridad de TI).
Las fases de la respuesta a incidentes
Es una buena idea empezar a desarrollar su plan de respuesta a incidentes trazando diferentes amenazas para tener una idea clara de lo que necesita incluir en su plan. Un computador robado es una situación completamente diferente a un ataque DDoS, pero ambos son incidentes de seguridad.
Un plan de respuesta a incidentes consiste típicamente en una secuencia de pasos que van desde la detección de incidentes hasta la recuperación y las lecciones aprendidas. Tenga en cuenta que un plan de respuesta a incidentes nunca está completo. A medida que cambie el panorama de las amenazas, también cambiarán las formas de abordar y responder a los incidentes.
1. Prevención
Un enfoque proactivo de la seguridad va de la mano de un plan de respuesta a incidentes. Nada es 100% seguro, pero unas buenas rutinas de seguridad, un registro y supervisión exhaustivos y una mentalidad consciente de los riesgos en todos los equipos pueden contribuir en gran medida a prevenir incidentes y minimizar los daños.
La prevención de incidentes es un tema amplio que abarca desde la formación del personal y la realización de evaluaciones periódicas de riesgos hasta el uso de pruebas de penetración y servicios como Detectify para supervisar el estado de seguridad de su aplicación web.
2. Detección
La detección es un paso crucial en la respuesta a incidentes. Es muy sencillo: no se puede hacer frente a un incidente si no se sabe que se está siendo atacado. La primera indicación de que algo va mal se puede ver a menudo en los registros.
Una vez que usted sabe que algo está sucediendo, necesita establecer qué tipo de ataque está experimentando y qué tan serio es. Puede categorizar el incidente y su gravedad basándose en los siguientes criterios:
Impacto funcional (¿Hasta qué punto el incidente afecta su capacidad para proporcionar servicios a los usuarios?
Impacto en la información (¿Se comprometió la información de alguna manera y en qué medida?)
Recuperabilidad (¿Qué tipo de recursos necesita para recuperarse del incidente?)
Los criterios anteriores le ayudarán a determinar qué se debe hacer a continuación y quién debe participar. Por ejemplo, si la información del usuario se ve comprometida en una violación de la privacidad, es necesario informar a los usuarios afectados y emitir una declaración de relaciones públicas. Por otra parte, un incidente de baja gravedad sin impacto funcional, de información o de recuperación requiere que se tomen las medidas adecuadas, pero es muy probable que no participen partes interesadas como el consejo de administración y las autoridades.
3. Contención
Usted ha identificado el incidente y es hora de tomar medidas. La contención consiste en tomar el control del incidente y aislarlo para minimizar los daños. Como tal, la contención a menudo implica decisiones que necesitan encontrar un equilibrio entre contener con éxito un incidente y retener pruebas con un impacto mínimo en su negocio.
Tomar decisiones importantes en una situación estresante no es nada fácil, por lo que es crucial tener directrices claras. Trazar un mapa de los diferentes tipos de incidentes y establecer criterios de contención que indiquen claramente el curso de acción correcto. Por ejemplo, ¿cuán grave debe ser un ataque para justificar el cierre de un servicio específico? Tales decisiones son mucho más fáciles cuando usted no tiene un incidente en curso en sus manos.
4. Erradicación y recuperación
Una vez que haya logrado contener el incidente, puede concentrarse en hacer que las cosas vuelvan a la normalidad. El siguiente paso depende del tipo de incidente.
Si el incidente fue el resultado de una falla de seguridad en su aplicación web, podría, por ejemplo, remediar la vulnerabilidad durante la erradicación. Si un sistema se apagó en la fase de contención, la recuperación es cuando lo restaura y se asegura de que todo funciona como debería.
5. Lecciones aprendidas
Cada incidente es una experiencia de aprendizaje y una oportunidad para mejorar su plan de respuesta a incidentes existente. A los pocos días de haber resuelto el incidente, reúna a su equipo y reflexione sobre las lecciones aprendidas.
Discuta lo que sucedió y lo que se hizo, así como lo que funcionó bien y lo que no. ¿Podría haberse hecho algo diferente? ¿Qué herramientas o rutinas adicionales podrían ayudar a abordar futuros incidentes? ¿Qué se podría añadir a su flujo de trabajo de prevención para evitar incidentes similares?
6. Informe
Escribir un informe detallado para documentar el incidente desde su detección hasta su recuperación es una parte crucial de la respuesta al incidente. Puede utilizar el informe de incidente internamente, así como una base para la comunicación externa sobre el incidente.
¿Y ahora qué?
Una vez diseñado, un plan de respuesta a incidentes no es inamovible. Es como un simulacro de incendio – necesita ser revisado regularmente y actualizado cuando sea necesario. Como toda seguridad, la respuesta a incidentes es un compromiso a largo plazo que nunca está realmente “terminado”.
Empezar con un enfoque estructurado para la respuesta a incidentes puede parecer intimidante y lento al principio, pero es una inversión que vale la pena y que puede ahorrarle muchos dolores de cabeza más adelante. Cuando se enfrenta a un incidente de seguridad, nadie se arrepiente de haber dedicado tiempo a desarrollar un plan de respuesta a incidentes.
¿Necesita renovar el sitio Web de su organización? Conozca aquí cómo podemos ayudarle
Imagen: rawpixel on Unsplash