respuesta a incidentes de seguridad cibernética ir lista de verificación del plan

Planificación de Respuesta a Incidentes: Una lista de control para crear su plan de respuesta a incidentes de seguridad cibernética

¿Está su organización preparada para responder a una violación de la seguridad o a un ataque cibernético? Según muchos expertos en seguridad, se trata de "cuándo" y no de "si" su empresa experimentará un incidente grave de ciberseguridad. Un plan de respuesta a incidentes es su mejor oportunidad para defender a su organización de sufrir los efectos de una violación de datos. El momento de planificar y preparar su respuesta a los incidentes de seguridad, sean cuales sean, es mucho antes de que ocurran.

¿Qué es un plan de respuesta a incidentes de seguridad?

Un plan de respuesta a incidentes de ciberseguridad (o plan IR) es un conjunto de instrucciones diseñadas para ayudar a las empresas a prepararse, detectar, responder y recuperarse de los incidentes de seguridad de la red. La mayoría de los planes IR se centran en la tecnología y abordan problemas como la detección de malware, el robo de datos y las interrupciones del servicio. Sin embargo, cualquier ataque cibernético significativo puede afectar a una organización a través de sus funciones de múltiples maneras, por lo que el plan también debe abarcar áreas como RRHH, finanzas, servicio al cliente, comunicaciones de empleados, legales, seguros, relaciones públicas, reguladores, proveedores, socios, autoridades locales y otras entidades externas.

Existen marcos de respuesta a incidentes estándar de la industria de organizaciones como NIST y SANS que proporcionan pautas generales sobre cómo responder a un incidente activo. Sin embargo, el plan de RI de su organización debe ser mucho más específico y procesable, detallando quién debe hacer qué y cuándo. Hemos preparado una lista de comprobación para esbozar los componentes clave de un plan de IR cibernético con el fin de ayudarle a crear el tipo de guía adecuado para su propia organización.

En cualquier caso, ya sea aprovechando una plantilla de plan de respuesta a incidentes o su propio plan de infrarrojos local, los objetivos siguen siendo los mismos: minimizar los daños, proteger sus datos y ayudar a su organización a recuperarse del incidente lo más rápidamente posible.

Cómo crear un plan de respuesta a incidentes

Cualquier organización con activos digitales (ordenadores, servidores, cargas de trabajo en nube, datos, etc.) tiene el potencial de experimentar un ataque cibernético o una violación de datos. Desafortunadamente, la mayoría de las organizaciones no se dan cuenta de que han sufrido una violación de datos hasta que es demasiado tarde. La creación de un plan de respuesta a incidentes de ciberseguridad le ayuda a prepararse para lo inevitable y a equipar a su equipo de seguridad de TI para responder antes, durante y después de un ataque cibernético. Aunque esta entrada de blog no profundizará en la profundidad y el detalle que necesita en un verdadero plan de respuesta a incidentes, le ayudará a comprender los factores y consideraciones clave en cada etapa del proceso de respuesta a incidentes: preparación, detección, respuesta, recuperación y seguimiento posterior al incidente.

Lo ideal es que su plan de respuesta a incidentes de seguridad se aproveche de forma continua (un documento vivo) para impulsar las actividades de detección y respuesta recurrentes (búsqueda de amenazas, investigaciones de incidentes cibernéticos, respuesta a incidentes y reparación/recuperación). Al realizar actividades continuas de detección y respuesta a incidentes, puede mejorar la higiene de TI y la seguridad y proteger mejor a su organización de amenazas desconocidas, atacantes ocultos y, potencialmente, prevenir una violación de datos.

Para el propósito de este blog, hemos dividido el proceso de planificación de respuesta a incidentes en cinco fases: Preparación, detección, respuesta, recuperación y seguimiento.

Preparación

La preparación es la primera fase de la planificación de la respuesta a incidentes y podría decirse que es la más crucial para proteger su negocio y sus activos digitales. Durante la etapa de preparación, usted documentará, resumirá y explicará las funciones y responsabilidades de su equipo de RI, incluyendo el establecimiento de la política de seguridad subyacente que guiará el desarrollo de su plan de RI.

  • Determine la ubicación exacta, la sensibilidad y el valor relativo de toda la información de su organización que necesita ser protegida.
  • Averigüe si dispone actualmente de suficientes recursos de TI para responder a un ataque o si se necesitaría soporte de terceros.
  • Obtener el compromiso de los ejecutivos para que el plan tenga la aprobación total de la cúpula de la organización.
  • Asignar roles y responsabilidades a todas las partes interesadas, incluyendo TI, RRHH, comunicaciones internas, atención al cliente, asuntos legales, relaciones públicas y asesores. 
  • Establecer una cadena de mando que incluya tanto a los líderes de TI como a los líderes corporativos. ¿Quién es el comandante del incidente? ¿Quién lanza el plan de respuesta a incidentes? ¿Quién tiene autoridad para "detener el trabajo", como el cierre de emergencia de los sitios web de la empresa?
  • Mapear el flujo de trabajo de respuesta a incidentes entre las diferentes partes interesadas. ¿Cuándo está involucrado RR.HH.? ¿Cuándo está involucrado legalmente? ¿Cuándo se avisa a los medios de comunicación? ¿Cuándo participan las autoridades externas?
  • Reúna y actualice información de contacto 24/7/365 (correo electrónico, texto, VOIP, etc.) de todos los miembros del equipo de respuesta a incidentes, sus copias de seguridad y gerentes. Establecer canales alternativos de comunicación si los canales regulares están comprometidos o no están disponibles.
  • Identificar los requisitos normativos de ciberseguridad para la organización en todas las funciones y elaborar orientaciones sobre cómo interactuar con las autoridades policiales y otras autoridades gubernamentales en caso de incidente.
  • Desarrollar y mantener una lista de proveedores de tecnología preferidos para análisis forense, reemplazo de hardware y servicios relacionados que puedan ser necesarios antes, durante o después de un incidente.
  • Establecer procedimientos para que los equipos de TI reciban alertas claras y procesables de todo el malware detectado. Las explicaciones específicas pueden ayudar a los miembros del equipo a evitar descartar la alerta como un falso positivo.
  • Almacene credenciales privilegiadas, incluidas contraseñas y claves SSH, en una bóveda centralizada y segura.
  • Rote automáticamente las credenciales privilegiadas, aísle las sesiones de cuentas privilegiadas para los empleados temporales y busque regularmente cuentas huérfanas de antiguos empleados que puedan proporcionar acceso no autorizado.
  • Solicite a los empleados que informen sobre correos electrónicos sospechosos y actividades que puedan afectar a la seguridad de la comprometimientored.
  • Asegúrese de que tiene un sistema limpio listo para restaurar, lo que puede implicar una nueva imagen completa de un sistema o una restauración completa a partir de una copia de seguridad limpia.
  • Establecer un plan de comunicación integral e integrado para informar a las audiencias internas y externas sobre los incidentes de forma rápida, precisa y coherente.

Detección y análisis

La fase de detección de respuesta a incidentes de seguridad y planificación de IR implica la supervisión, detección, alerta y elaboración de informes sobre eventos de seguridad. Esto incluye la identificación de amenazas conocidas, desconocidas y sospechosas, es decir, aquellas que parecen ser de naturaleza maliciosa, pero no se dispone de datos suficientes en el momento de la detección para tomar una decisión en ambos casos.

Cuando se detecta un incidente de plomo, amenaza o seguridad, su equipo de respuesta a incidentes debe recopilar y documentar inmediatamente (si no automáticamente con la ayuda del software de respuesta a incidentes cibernéticos) evidencia adicional de información forense, artefactos y muestras de código para determinar la gravedad, tipo y peligro del incidente, y almacenar esos datos para utilizarlos en el procesamiento de los atacantes en un momento posterior.

  • Desarrolle una estrategia de detección proactiva basada en herramientas que pueden analizar automáticamente sus hosts, sistemas y servidores físicos y virtuales en busca de aplicaciones, identidades o cuentas vulnerables.
  • Considere soluciones tradicionales como las plataformas de detección y respuesta de puntos finales (EDR), el software antivirus de próxima generación (NGAV) o las herramientas de análisis de comportamiento de usuarios/entidades (UEBA/UBA) para detectar malware.
  • Considere también el análisis profundo y las capacidades basadas en análisis forenses que pueden evaluar la salud de un punto final mediante la validación de lo que se está ejecutando en la memoria en un momento dado en el tiempo.
  • Realice comprometimientoevaluaciones para verificar si una red ha sido violada e identifique rápidamente la presencia de malware conocido o de día cero y de amenazas persistentes activas o inactivas, que han evitado sus defensas de ciberseguridad existentes.

Respuesta

La respuesta a los incidentes de seguridad puede adoptar varias formas. Las acciones de respuesta a incidentes pueden incluir el rastreo de alertas desde sus herramientas de seguridad de endpoints para determinar qué amenazas son reales y/o la prioridad en la que se deben tratar los incidentes de seguridad. Las actividades de respuesta a incidentes también pueden incluir la contención y neutralización de la(s) amenaza(s): aislar, apagar o"desconectar" de otro modo los sistemas infectados de su red para evitar la propagación del ataque cibernético. Además, las operaciones de respuesta a incidentes incluyen la eliminación de la amenaza (archivos maliciosos, puertas traseras ocultas y artefactos) que condujeron al incidente de seguridad.

  • Contiene inmediatamente sistemas, redes, almacenes de datos y dispositivos para minimizar la amplitud del incidente y aislarlo de la posibilidad de causar daños generalizados.
  • Determine si algún dato sensible ha sido robado o corrompido y, de ser así, cuál podría ser el riesgo potencial para su negocio.
  • Erradicar los archivos infectados y, si es necesario, reemplazar el hardware.
  • Mantenga un registro completo del incidente y de la respuesta, incluyendo la hora, los datos, la ubicación y el alcance del daño causado por el ataque. ¿Fue interno, externo, una alerta del sistema o uno de los métodos descritos anteriormente? ¿Quién lo descubrió y cómo se denunció el incidente? Enumere todas las fuentes y horas por las que ha pasado el incidente. ¿En qué momento se involucró el equipo de seguridad?
  • Preservar todos los artefactos y detalles de la violación para un análisis más profundo del origen, impacto e intenciones.
  • Preparar y publicar declaraciones públicas tan pronto como sea posible, describir con la mayor precisión posible la naturaleza de la violación, las causas de fondo, el alcance del ataque, los pasos a seguir para remediarlo y un resumen de las actualizaciones futuras.
  • Actualice los cortafuegos y la seguridad de la red para capturar pruebas que puedan utilizarse posteriormente en el análisis forense.
  • Involucre al equipo legal y examine el cumplimiento y los riesgos para ver si el incidente impacta alguna norma.
  • Póngase en contacto con la policía si corresponde, ya que el incidente también puede afectar a otras organizaciones. Información adicional sobre el incidente puede ayudar a erradicar, identificar el alcance o ayudar con la atribución. 

Recuperación y seguimiento

Las actividades posteriores al incidente (acciones de recuperación y seguimiento) incluyen la erradicación del riesgo de seguridad, la revisión y la elaboración de informes sobre lo ocurrido, la actualización de la información sobre amenazas con nueva información sobre lo que es bueno y lo que es malo, la actualización del plan de infrarrojos infrarrojos con las lecciones aprendidas del incidente de seguridad, y la certificación de que la recertificación del entorno está libre de la amenaza o amenazas a través de una comprometimientoevaluación de ciberseguridad o de una evaluación de los riesgos de seguridad y de TI tras el incidente.

Recuperación

  • Erradicar el riesgo de seguridad para asegurar que el atacante no pueda recuperar el acceso. Esto incluye sistemas de parches, cierre de acceso a la red y restablecimiento de contraseñas de cuentas comprometidas.
  • Durante el paso de erradicación, cree una identificación de causa raíz para ayudar a determinar la ruta de ataque utilizada, de modo que se puedan mejorar los controles de seguridad para evitar ataques similares en el futuro.
  • Realice un análisis de vulnerabilidad en toda la empresa para determinar si pueden existir otras vulnerabilidades.
  • Restaure los sistemas al estado anterior al incidente. Compruebe la pérdida de datos y compruebe que se ha recuperado la integridad, disponibilidad y confidencialidad de los sistemas y que el negocio ha vuelto a la normalidad.
  • Continúe recopilando registros, volcados de memoria, auditorías, estadísticas de tráfico de red e imágenes de disco. Sin la adecuada recopilación de pruebas, la investigación forense digital es limitada, por lo que no se llevará a cabo una investigación de seguimiento. 

Seguimiento

  • Complete un informe de respuesta a incidentes e incluya todas las áreas de la empresa que se vieron afectadas por el incidente.
  • Determinar si la gerencia estaba satisfecha con la respuesta y si la organización necesita invertir más en personas, capacitación o tecnología para ayudar a mejorar su postura de seguridad.
  • Compartir las lecciones aprendidas. ¿Qué fue bien, qué no y cómo se pueden mejorar los procedimientos en el futuro?
  • Revisar, probar y actualizar el plan de respuesta a incidentes de ciberseguridad de forma regular, quizás anualmente si es posible.
  • Realice una comprometimientoevaluación u otros análisis de seguridad de forma regular para garantizar el estado de los sistemas, redes y dispositivos.
  • Actualizar los planes de respuesta a incidentes después de una reestructuración del departamento u otra transición importante.
  • Mantenga informadas a todas las partes interesadas sobre las últimas tendencias y los nuevos tipos de brechas de datos que están ocurriendo. Promover el mensaje de que "la seguridad es tarea de todos".

Conclusión

El objetivo de nuestra lista de verificación del plan de respuesta a incidentes cibernéticos es ayudar a su equipo de seguridad de TI a desarrollar un plan de respuesta a incidentes que sea completo, coordinado, repetible y eficaz.

Por favor, tenga en cuenta que el desarrollo de un plan de IR de ciberseguridad nunca es un ejercicio de uno a uno. Desafortunadamente, sin un entrenamiento regular de respuesta a incidentes y ejercicios de IR, incluyendo escenarios de ciberataques en vivo, las organizaciones y sus equipos de seguridad de TI pueden encontrarse repentinamente superados por los hackers que giran en sus estrategias de ataque/TTPs y en su elección de malware.

Lo que funcionó en el pasado podría no funcionar mañana. El plan de respuesta a incidentes de seguridad adecuado debe ser un documento vivo que siga el ritmo de la rápida evolución del panorama de las amenazas en la actualidad.

Descargue nuestra lista de comprobación del plan de ciberseguridad IR para empezar a construir su propio plan de respuesta a incidentes, o contáctenos para solicitar una consulta, comprometimientoevaluación, o para aprender cómo Infocyte permite una detección de amenazas y una respuesta a incidentes rápida, flexible y asequible.