Al asesorar a nuestros clientes, casi siempre descubrimos que muchos de ellos no están seguros sobre las políticas y procesos que sus organizaciones debieran tener para implementar un programa efectivo de respuesta a incidentes (IR) de ciberseguridad.
Contar con la estructura correcta es fundamental para proveer las herramientas y guías que tanto el equipo de respuesta ante incidentes como la organización necesitan para reaccionar rápido y reducir el daño.
Hay tres puntos fundamentales que creemos que todas las organizaciones deben tener en sus programas: una política bien definida de respuesta ante incidentes, un plan de respuesta y un manual bien documentado de respuesta ante incidentes.
¿Por qué necesitamos una política de respuesta ante incidentes? Para empezar, la creación de una política responsabiliza a la organización de hacer que la respuesta a incidentes sea una prioridad.
Como cualquier política, este documento sienta las reglas y el marco de gobernanza alrededor de la respuesta ante incidentes de cualquier organización, incluyendo:
El plan de respuesta provee una guía sobre cómo responder ante varios tipos de incidentes. Debiera cubrir cómo detectar, analizar, contener, erradicar y recuperarse. Dicho plan debe definir y cubrir todas las fases del ciclo de vida de la respuesta ante incidentes, el antes y el después.
Existen varios marcos de respuesta a incidentes ampliamente utilizados que podrían usarse como referencia, como los del Instituto Nacional de Estándares y Tecnología (NIST), la Organización Internacional para la Estandarización (ISO) y el Instituto SANS. Aunque no existe una plantilla única de respuesta a incidentes, sugerimos que el plan contenga lo siguiente:
Los manuales de respuesta ante incidentes estandarizan la respuesta ante un tipo específicode incidentes con procedimiento que incluyen los pasos de acción específicos que la organización debe seguir para prepararse, responder y recuperarse de una vulnerabilidad específica.
Usando la guía de respuesta ante incidentes de NIST como ejemplo, un manual proporciona orientación detallada sobre cada fase: preparación, detección y análisis,contención, erradicación, recuperación y actividad posterior al incidente.
El manual debe definir qué acciones específicas deben tomarse y el equipo o individuo responsable de realizar la acción. Los tipos más comunes de manuales incluyen
Los planes de respuesta ante incidentes y manuales deben definir de manera clara todos los individuos y equipos que forman del proceso de respuesta ante incidentes, incluso si solo se involucran en uno o dos elementos.
Al definir roles y responsabilidades y hacer que estas personas se familiaricen con la documentación a través de lecturas y ejercicios de simulación, los miembros de toda la organización saben qué deben hacer y cuándo. Fortinet recomienda una revisión semestral de estos documentos y una después de cada incidente mayor.
Este lapso asegura que cualquier lección aprendida sea incorporada y que los cambios en la organización sean considerados e implementados.
La buena noticia es que las organizaciones no están solas en esto, existen servicios de evaluación de riesgos, consultoría de evaluación de ciberseguridad, y servicios de evaluación de preparación y respuesta ante incidentes para navegar este camino con ayuda de los expertos.
*Por Martín Pueblas, vicepresidente de Consultoría de Ingeniería en Fortinet