Martín Pueblas, vicepresidente de Consultoría de Ingeniería en Fortinet para América Latina, Caribe y Canadá, ha mencionado que al asesorar a los clientes en la mayoría de los casos, se han dado cuenta de que ellos no están seguros con respecto a las políticas de seguridad, así como tampoco con los procesos que sus organizaciones debieran tener para implementar un programa efectivo y seguro de respuesta a incidentes (IR) de ciberseguridad.
Según ha especificado, hay tres puntos esenciales que creen que todas las organizaciones deben tener en sus programas los cuales son:
- Una política adecuadamente definida de respuesta ante incidentes,
- Un plan de respuesta ante incidente,
- Un manual bien documentado de IR.
Razones por las cuales necesitamos una política de respuesta ante incidentes
Primeramente hay que dejar claro que la creación de una política, responsabiliza a la organización de hacer que la respuesta a incidentes sea realmente una prioridad. Cabe resaltar que como ocurre con cualquier política, este documento sienta las reglas y el marco de gobernanza alrededor de la respuesta ante incidentes de cualquier organización, incluyendo lo siguiente:
- Primero que nada, el propósito del protocolo de respuesta ante incidente y por qué es necesario.
- Asimismo, razones del por qué fue establecida esta política.
- Alcance de la política.
- Además, incluye quién en la organización es responsable de fortalecerla.
- Incluso, definiciones de respuesta ante incidentes, así como además, otros términos clave como evento e incidente.
- Debe existir ciertos requerimientos que tienen que ser cumplidos tanto por el equipo de respuesta ante incidentes como por el resto de la organización.
- Además de una guía sobre la creación del plan de respuesta a incidentes.
Pero, hay algo que es importante conocer: ¿Qué es un plan de respuesta ante incidentes?
Es importante señalar que el plan de respuesta ante incidente, suministra una guía sobre cómo se puede responder ante diversos tipos de incidentes. El mismo, debiera cubrir cómo detectar, analizar, así como también contener, erradicar y recuperarse.
Asimismo, este plan debe definir y cubrir todas las fases del ciclo de vida de la respuesta ante incidentes, tanto el antes, como también el después. Cabe destacar que existen diversos cuadros de respuesta a incidentes que podrían utilizarse como referencia, como por ejemplo los del Instituto Nacional de Estándares y Tecnología (NIST), así como la Organización Internacional para la Estandarización y también el Instituto SANS. Para estar un poco más claros al respecto, debemos mencionar que la recomendación es que el plan contenga los siguientes aspectos:
- Primeramente, debe poseer la misión.
- Así como también las metas e incluso, los objetivos.
- El alcance.
- Además de los roles y compromisos, incluida la información de contacto principal para los miembros del equipo de respuesta a incidentes.
- Debe contener procesos de comunicación tanto internos como externos.
- Niveles de severidad.
- Asimismo, debe poseer los tipos de incidentes.
- La definición de tipos de incidentes en donde se incluyen (incidente, evento e incluso, filtración de datos).
- Además de los procedimientos en alineación con el ciclo de vida de respuesta ante incidentes de la organización.
¿Cuál debe ser el propósito de un manual de respuesta ante incidentes?
Este tipo de manuales estandarizan la respuesta ante un tipo concreto de incidentes con procedimiento que incluyen los pasos de acción específicos que la organización debe seguir para prepararse, así como responder y además, recuperarse de una vulnerabilidad específica.
Según se conoció, el manual debe definir qué acciones específicas deben tomarse y el equipo o individuo responsable de realizar la determinada acción. Entendiendo esto, hay que detallar que los tipos más frecuentes de manuales incluyen los siguientes aspectos:
- Manual ante ransomware.
- Asimismo, un manual para filtración o pérdida de datos.
- Además de un manual ante malware (algo muy esencial).
- Un manual ante negación de servicio.
- así como también un manual ante una amenaza interna.
- Incluso un manual ante ingeniería social.
- Manual ante sitios webs comprometidos.
- Por último y no menos importante, debe incluir un manual ante vulnerabilidades de día cero.
Cerciorarse de que los documentos de respuesta ante incidentes estén completos y actualizados
Cabe señalar que los planes de respuesta ante incidentes así como también los manuales, deben concretar claramente todas las personas y equipos que forman parte del proceso de respuesta ante incidentes. Aunque parezca difícil de creer, se debe saber que al definir roles y responsabilidades, así como hacer que estas personas se habitúen con la documentación mediante lecturas y ejercicios de simulación, los miembros de toda la organización podrán saber qué deben hacer y cuándo deben hacerlo. Desde Fortinet, recomiendan una revisión semestral de estos documentos, así como también una luego de cada incidente mayor.
Casos similares?
Hace poco abordábamos en TECHcetera casos similares para saber que hacer antes, durante y después de un ataque de Ransomware.