Articles

Etapas de respuesta a incidentes

Al hablar de respuesta a incidentes, el proceso estándar que se sigue en el manejo de un incidente se describe en las siguientes etapas:

  • Pasos de respuesta a incidentesPreparación
  • Identificación
  • Contención
  • Erradicación
  • Recuperación

La preparación no es solo la primera fase, sino la fase más crucial. La preparación determina la eficacia de sus capacidades de respuesta a incidentes. En la práctica, la esencia de la preparación se teje a lo largo de todo el proceso. La preparación es también la fase en la que se establecen explícitamente las funciones críticas implícitas del manejo eficaz de incidentes. La preparación adecuada dictará la madurez de su equipo de respuesta a incidentes y el impacto en el negocio se puede medir de forma cuantificable.

Los puntos focales de la preparación son:

  • Política
  • Comunicación
  • Herramientas
  • Formación
  • Responsabilidades

Política

para que un plan de respuesta a incidentes para ser eficaz, el primer paso es obtener el apoyo de la parte superior de la organización. Este respaldo asegurará que la organización en su conjunto apoye el plan de respuesta a incidentes y proporcione el tiempo y los recursos necesarios para maximizar su capacidad de éxito. El apoyo ejecutivo se manifiesta inicialmente en forma de política firmada por el liderazgo de la organización. Una buena política protege la misión del equipo de respuesta a incidentes al darle la autoridad necesaria para cumplirla. La política proporciona un conjunto escrito de principios, reglas o prácticas que dictan cómo responderá la organización a un incidente.

Definir la política puede ser un proceso desalentador debido a que existen muchos ámbitos de la seguridad de la información que podrían verse afectados por un incidente. El uso aceptable, el despido de empleados, el archivo de datos, el control de acceso y la gestión de contraseñas son solo una pequeña muestra de cómo se pueden propagar los tentáculos de la respuesta a incidentes. La política puede afectar a varios departamentos que pueden tener necesidades contrapuestas debido a sus propios mandatos individuales. La creación de una política global que cumpla con los requisitos legales, reglamentarios y operativos puede requerir una inversión significativa en tiempo y recursos. Sin embargo, es un paso necesario para comprender cómo funciona toda la organización para ayudar a facilitar la implementación de un equipo de respuesta a incidentes eficaz.

Responsabilidades

El proceso de creación de una política comienza a enfocar los diferentes roles que se necesitarán para apoyar el proceso de respuesta a incidentes. Los roles de incidentes tradicionales, como un administrador de seguridad o un analista, tienden a ser claros. El apoyo multifuncional de otros departamentos es esencial para el éxito de la capacidad del equipo para remediar incidentes. Estos departamentos exploran las ramificaciones del incidente en torno a asuntos legales, de cumplimiento y de relaciones públicas.

Los roles identificados deben tener su responsabilidad definida explícitamente para el proceso de respuesta a incidentes. Los roles tendrán diferentes responsabilidades dependiendo de la fase del proceso de respuesta a incidentes que la organización esté ejecutando actualmente.

Imagen del Equipo de Respuesta a Incidentes

Comunicación

El análisis realizado a lo largo del desarrollo de políticas ayuda a facilitar la definición de canales y procesos de comunicación que deben ocurrir durante un incidente. Uno de los errores comunes durante el desarrollo de un plan de respuesta a incidentes es descuidar la identificación de un actor clave en el manejo de un incidente.

Las leyes y regulaciones pueden dictar las entidades externas con las que su organización debe comunicarse en caso de un incidente. El plan de comunicación debe identificar esas entidades y definir los procedimientos de notificación. Se debe prestar especial atención a los proveedores, clientes y proveedores de servicios al desarrollar un plan.

El plan de comunicación también debe establecer pautas claras para cuándo involucrar a las fuerzas del orden y quién coordinará entre la organización y los organismos. La razón principal por la que un incidente de seguridad no da lugar a cargos penales es que la organización no manejó el incidente y no se comunicó correctamente con las fuerzas del orden. La(s) persona (s) designada (s) como contacto principal debe (n) comunicarse con las fuerzas del orden de una manera clara y coherente que corresponda a los procedimientos definidos por la organización y las fuerzas del orden.

Herramientas

Un componente clave del proceso de creación de políticas es definir las capacidades del equipo de respuesta a incidentes. Definir claramente las responsabilidades de su equipo de respuesta a incidentes es esencial para preparar a la organización para el éxito. Algunos servicios pueden gestionarse internamente, mientras que otros pueden subcontratarse. Las herramientas que se implementan están diseñadas para estar en línea con las capacidades definidas.

Cada fase del plan de respuesta a incidentes tendrá herramientas asociadas. La fase de detección y análisis tendrá herramientas para agilizar la presentación de informes de incidentes, capturar el tráfico de red y realizar análisis de comportamiento. La fase de contención y recuperación de incidentes contará con herramientas para limitar el acceso a la red/sistema y facilitar la restauración de los servicios dentro de los plazos de recuperación definidos. Las herramientas posteriores a incidentes se pueden utilizar para actualizar la base de conocimientos y la información sobre amenazas de la organización.

Capacitación

Una vez que se hayan definido las herramientas y procedimientos, todo el personal que vaya a participar en el proceso de respuesta a incidentes deberá recibir capacitación regularmente. El entrenamiento puede tomar forma de muchas formas diferentes. La clave es hacer que la capacitación sea relevante y abarque diferentes escenarios. Los ejercicios de mesa que involucran a todos los departamentos relevantes son una de las formas más efectivas de ajustar el proceso de respuesta a incidentes. Un ejercicio de mesa es un ejercicio simulado donde los participantes se reúnen para discutir los procesos de incidentes. Proporciona una flexibilidad que es difícil de obtener con ejercicios en vivo y abarca todas las funciones dentro de la organización. Los ejercicios de mesa permiten a la organización identificar las lagunas que puedan existir. También permiten a una organización aplicar las lecciones aprendidas en un entorno controlado.

La práctica regular permite que su empresa se desempeñe con la máxima eficiencia durante un incidente en vivo.

Una cita popular de Sun Tzu es » conócete a ti mismo y ganarás todas las batallas.»Conocerse a sí mismo viene con un cuidado extremo durante la fase de preparación y la realización de prácticas deliberadas para descubrir debilidades. Un equipo de respuesta a incidentes maduro y eficaz no se crea a través de una solución tecnológica enlatada o cualquier otra solución mágica. Se construyen con una atención meticulosa en la preparación para ejecutar las actividades de detección, contención y posteriores al incidente.