Entender y desarrollar un plan de respuesta a incidentes es fundamental para la resolución eficaz de las brechas de seguridad.
Un plan de Respuesta a Incidentes es la mejor manera de asegurar que un incidente se maneja rápidamente. La preparación previa es clave, si un plan se hace con anticipación, cuando ocurre un incidente, puedes reaccionar rápidamente, ahorrando tiempo y dinero.
Esto se confirma en el estudio del Coste de una Brecha de Seguridad 2020 del Instituto Ponemon que destaca que el costo medio de una brecha para las organizaciones con un plan de RI probado regularmente es de 3,29 millones de dólares, en comparación con los 5,29 millones de dólares para las organizaciones que no lo tienen. Comprender qué hacer cuando se produce un incidente y con quién hablar es fundamental para una respuesta eficaz.
Entonces, ¿cuál es la mejor manera de establecer un plan de Respuestas a incidentes?
- Evaluación/análisis de las brechas de seguridad
Asegurarse de que se han hecho todas las preguntas apropiadas y de que se ha revisado la información para identificar sistemas, servicios, responsables, etc. Si ya existe un plan de RI, la evaluación de lagunas establecerá si el plan es adecuado para su propósito, identificará lagunas y establecerá un punto de referencia para los resultados. Esto es algo que gestionamos para nuestros clientes con nuestro Servicio de Consultoría Ciberseguridad.
- Diseñar un plan de RI
Se basa en la información recogida en la fase de evaluación de las brechas. Los requisitos empresariales impulsan la definición de los objetivos y la misión del plan de RI. al igual que en el caso de un plan de Recuperación de Desastres. En ambos casos, el responsable ejecutivo de los planes debería ser similar.
- Redactar el plan
Diseñar el plan de RI, en base a los objetivos de la empresa y utilizando una metodología general de respuesta a los incidentes.
Principales planes de respuestas a incidentes
- NIST (Guía de Gestión de Incidentes de Seguridad Informática SP 800-61): preparación, detección y análisis, Contención, Erradicación y Recuperación y Acciones Post-incidente.
- SANS - Marco para la gestión de incidentes: preparación, identificación, contención, erradicación, recuperación y Lecciones aprendidas.
Fases de preparación de un plan de respuesta a incidentes
Estos marcos de referencia en la prevención de riesgos laborales se estructuran de manera diferente pero el procedimiento a la hora de tratar los incidentes es la misma. La gran mayoría de los elementos de un plan de RI se definirán en la fase de preparación:
Estructura del equipo
Identificar el equipo responsable de los procesos de gestión de incidentes diarios incluyendo los equipos externos.
Roles y responsabilidades de los trabajadores
Deben estar claramente definidos para que todos los miembros sepan encajan en el plan general y qué es lo que se espera de ellos.
Definiciones de los tipos de incidentes
Establece lo que es un incidente, cuándo la organización sufrirá un incidente importante, así como los otros términos clave asociados con el plan de IR.
Matriz de prioridades
¿Cómo identificar un incidente bajo o crítico? Divídelo en áreas específicas, por ejemplo, usuarios, criticidad, dispositivo, tipo de ataque y sistemas afectados. La puntuación se lleva a cabo en cada área, ayudando a calcular la gravedad del incidente.
Flujos de trabajo de los incidentes
Definir las actividades que debe realizar cada equipo durante un incidente. Alinear el flujo de trabajo con un plan general de RI, con elementos a medida añadidos en forma de runbook para amenazas específicas. Detallar rutas de escalación y la conexión a los procedimientos externos.
Proceso de escalaciones
Establecer el proceso de escalación en función de los criterios establecidos. Hay muchas razones por las que necesitan ser escalados, como pueden ser la necesidad de encontrar habilidades adicionales, o soporte externo requerido, y todo esto debe detallarse para que el personal que trabaja en el incidente sepa a quién llamar cuando sea necesario.
Comunicación durante el incidente
Asegura que los miembros del equipo sean conscientes de cómo deben comunicarse. Si la red de la organización ha sido comprometida, se debe utilizar un canal de comunicación separado, es decir, ¡no el correo electrónico!. Los demás elementos del plan de comunicación deben ajustarse al Traffic Light Protocol para que el incidente pueda clasificarse en consecuencia y sólo se informe al personal autorizado.
Controles de pruebas
Todas las pruebas deben ser almacenadas y procesadas como si fueran a ir a un tribunal. Cualquier información de seguridad y sistemas de gestión de eventos (SIEM) utilizados deben ser diseñados con esto en mente, y cualquier información adicional recogida debe seguir la cadena de pruebas correcta tal y como se ha definido.
Documentación clave
Esto incluye toda la información adicional pertinente al plan de RI:
- Organigrama de la organización
- Lista de activos, datos y servicios críticos
- Diagramas de red
- Diagramas de flujo de datos
- Puntos de entrada/salida
- Plan de Continuidad de negocio
- Plan de Recuperación de desastres
- Playbook de Respuesta a Incidentes para los ataques típicos
- Formulario de cadena de custodia
- Cuestionario sobre el incidente
- Información de contacto para la aplicación de la ley
- On-call/handover
- Cumplimiento de normas/regulación
- Estándar de procedimientos operativos
Planes para prevenir la respuesta a incidentes futura
Los elementos futuros del plan seguirán un flujo de trabajo similar, pero más granular, para ayudar a los analistas en sus investigaciones y ofrecerles orientación. Ejemplo:
- Acciones.
- ¿Implica la estrategia de mitigación desconectar los recursos operacionales?SI – Trabaje con el jefe de departamento del área afectada, o su designado, para determinar el riesgo para el negocio. NO – Ir al paso 5.
- ¿El responsable tomo la decisión de desconectar o apagar los recursos? SI – Ir al paso 5. NO – Utilizar una estrategia de contención alternativa: actividades de respuesta en vivo, filtros de los cortafuegos, apagar servicios sospechosos o aplicar parches.
- Asegurar la información crítica, antes de apagar el sistema, incluyendo: datos de la memoria volátil y captura de paquetes.
El plan de IR debe detallar las acciones que deben llevarse a cabo en la resolución de un incidente, tales como el análisis, las lecciones aprendidas y la presentación de informes.
Testar y probar el plan de RI es esencial
Lo más importante: probar el plan. ¿Por qué va a funcionar todo esto si el equipo no sabe cómo responder en una emergencia?
Probamos los planes de evacuación de incendios y la respuesta a incidentes no debería ser diferente. Lo ideal sería que las pruebas se llevaran a cabo en organizaciones externas que crearan escenarios de prueba y revisaran el plan para asegurarse de que todos los miembros del equipo están respondiendo adecuadamente. Este equipo externo puede entonces identificar cualquier brecha y proporcionar soporte y capacitación adicional cuando sea necesario. Un servicio como Servicio Digital Forense y de Respuesta a Incidentes puede ayudar en esto, proporcionando una hoja de ruta de seguridad prioritaria y accionable para optimizar los controles existentes y determinar si se necesitan nuevos.
Hay recursos gratuitos disponibles para crear un plan de RI, pero es un área muy especializada. Es fundamental revisar las organizaciones que existen para garantizar que el plan de RI sea efectivo y esté alineado con las necesidades de la empresa. Si actualmente no tienes un plan de respuesta a incidentes, no te demores más, y anticípate a futuros incidentes.
Categorizado en:
Gestión Integrada