Crear un plan de respuesta a incidentes es una misión crítica para las organizaciones modernas. Como los agresores evolucionan continuamente sus metodologías de ataque, las organizaciones necesitan personas, procesos y tecnologías que les permitan responder rápidamente a un incidente de seguridad.
Desde SecurityScorecard vamos a ver cómo la respuesta a incidentes es un complejo conjunto de actividades para gestionar los incidentes de seguridad con políticas, procesos y procedimientos que incluyen:
- Detección
- Investigación
- Contención
- Remediación
- Recuperación
¿Cuáles son los pasos de la respuesta a un incidente?
Preparación
Durante la fase de preparación, piensa como un ciberdelincuente y averigua los objetivos de alto valor que tienes.
Identificación/Detección
Este suele ser el paso más difícil por varias razones. En primer lugar, tu equipo de seguridad tiene que ser capaz de detectar una actividad anormal en tu entorno.
Contención
Si el equipo de seguridad encuentra una amenaza real, necesita limitar el impacto conteniendo la amenaza para evitar daños mayores. Además, tienen que remediar cualquier vulnerabilidad de seguridad, localizar al actor de la amenaza y encontrar una forma de evitar daños adicionales.
Erradicación
La erradicación es la destrucción completa de algo. En este paso, el equipo de seguridad elimina todo lo que el atacante utilizó para transmitir el ataque y restaura los sistemas que se vieron afectados.
Recuperación
Una vez eliminados los restos del ataque, la fase de recuperación se encarga de probar los sistemas afectados, establece monitores para encontrar cualquier amenaza restante y se asegura de que lo ocurrido no vuelva a ocurrir y comprometa aún más el sistema.
Lecciones aprendidas
Una vez que tu equipo se recupera del incidente, debe ser capaz de proporcionar un informe sobre lo que funcionó y lo que no para prevenir y recuperarse del ataque.
¿Por qué las empresas tienen dificultades para responder a los incidentes?
Conceptualmente, los pasos son sencillos. Sin embargo, la implementación es el verdadero reto. Puede ser abrumador darse cuenta de que tienes un incidente que hay que atender y, al mismo tiempo, tener que responder de una manera productiva y sin emociones que proteja el sistema y evite futuros incidentes.
Creación de un plan eficaz de respuesta a incidentes
Aunque la respuesta a los incidentes es un reto, las organizaciones pueden dar varios pasos para ayudar a crear procesos coherentes:
- Realizar una evaluación de la seguridad
- Formar al equipo de seguridad
- Participar en la caza de amenazas
- Recoger artefactos
- Establecer y aplicar procesos de contención, erradicación y recuperación
La mejor manera de tomar una decisión inteligente fundamentada en datos a la hora de abordar un incidente es hacerlo con SecurityScorecard. Con nuestra herramienta podrás obtener una puntuación de riesgo de ciberseguridad afrontar tus incidentes con más información.
No Comments