Respuesta a incidentes

La respuesta a incidentes (IR) es un enfoque sistemático para ayudar a los equipos de TI a estar preparados y planificar incidentes de TI, incluida una interrupción del servicio, una violación de la seguridad de una organización o un ciberataque. Ninguna organización es totalmente inmune a los incidentes de TI, en particular a los incidentes de seguridad dada la actual situación de trabajo remoto adoptada por las empresas. Cuando se producen incidentes de seguridad, golpean con fuerza, causando la destrucción de datos, violando la confidencialidad e induciendo pérdidas significativas en términos de productividad y finanzas, lo que implica un gran esfuerzo para recuperarse. Sin embargo, con un plan de IR constructivo, es posible manejar estas situaciones con mayor eficacia y restablecer la normalidad más rápidamente. El informe de Ponemon sobre el costo de una violación de datos confirma que las organizaciones con un sólido plan de IR de seguridad han reducido los costos provocados por los incidentes de seguridad en unos $2 millones en promedio. Por tanto, las organizaciones deben considerar que es prioritario establecer un plan de IR bien definido y su curso de acción, y diseñar un proceso de IR que defina qué es un incidente para su empresa, crear un equipo de respuesta a incidentes con roles y formarlo cuanto antes.

El enfoque con el que una organización responde a un incidente, conocido como procedimiento de respuesta, influye significativamente en las secuelas del incidente. Normalmente, el proceso de respuesta a incidentes comienza con el establecimiento del plan de respuesta a incidentes, de acuerdo a su organización y su funcionamiento, y la delegación de roles y responsabilidades en el equipo de respuesta a incidentes. A continuación se describen las distintas fases de la respuesta a un incidente de seguridad, según el Instituto Nacional de Estándares y Tecnología (NIST).

1. Preparación

La preparación es la fase más crucial de la respuesta a incidentes. La elaboración de una estrategia, su documentación, la creación de un equipo de respuesta a incidentes, la designación de roles y responsabilidades, la comunicación y formación adecuadas y la adquisición del software y hardware necesarios forman parte del plan de respuesta a incidentes y de la preparación ante una violación de la seguridad.

2. Detección y análisis

En esta fase es cuando tiene lugar la IR propiamente dicha, empezando por la identificación y reporte de incidentes de seguridad. Esto nos lleva a la cuestión de quién notifica un incidente y cómo lo hace.

Todos los miembros de la organización deben conocer el plan de IR establecido, y deben reportar las brechas de seguridad en cuanto tengan una sospecha. También es importante informar a los clientes sobre el plan de IR para que también estén atentos. Los empleados y los clientes deben reportar los problemas de seguridad que detecten en su entorno de trabajo. A continuación se exponen algunas situaciones en las que no debe ignorarse el problema, y que debe comunicarse lo antes posible para obtener una respuesta rápida.

• Clientes que reportan problemas de seguridad a los canales de soporte de la organización
• Amenazas a los datos de los clientes por problemas de seguridad detectados internamente
• Alertas de seguridad activadas desde sistemas de detección de intrusos y herramientas de monitoreo
• Comunicaciones por correo electrónico que puedan contener virus
• Detección de malware en cualquiera de los dispositivos de la organización

Cuando un empleado detecta un incidente de seguridad, debe reportarlo al equipo de IR. La organización debe disponer de diferentes modos a través de los cuales se puedan detectar incidentes de seguridad, como formularios web en el portal de autoservicio, correos electrónicos, chats, llamadas telefónicas, espacios de trabajo digitales colaborativos, incluyendo Microsoft Teams, y más. Esto debe definirse claramente como parte del plan de IR, y publicarse para los empleados y clientes.

El NIST enumera cinco pasos para la fase de detección y análisis:

• Identificar las primeras señales de un incidente de seguridad
• Analizar las señales para diferenciar una amenaza real de una falsa alarma
• Documentar el incidente con todos los hechos y los procedimientos de respuesta pertinentes que se deben aplicar para gestionar el problema
• Priorizar el incidente con base en un análisis de impacto, considerando sus efectos sobre la funcionalidad y confidencialidad del negocio, y el tiempo y esfuerzo de respuesta necesarios para recuperarse
• Notificar a los equipos e individuos implicados por parte del equipo de IR, explicando el plan de IR y los pasos a seguir para una rápida recuperación

3. Contención, erradicación y recuperación

La idea que subyace a la fase de contención es controlar el incidente lo antes posible y detener sus efectos de forma que no cause más daños. Esto requiere identificar los sistemas exactos que están siendo atacados y mitigar los efectos con las estrategias de contención, erradicación y recuperación de la IR. El problema se puede erradicar utilizando una herramienta de gestión de incidentes eficaz, y brindando resoluciones mediante artículos de conocimiento publicados en la base de conocimiento de la mesa de servicio. Para que se considere que el incidente de seguridad ha dejado de ser una amenaza, debe existir una estrategia de recuperación. Esta fase también incluye comprobar los sistemas afectados y reincorporarlos al entorno empresarial.

Todas estas estrategias deben basarse en criterios como la gravedad del incidente de seguridad, el estado de los sistemas afectados, el impacto en el negocio, el registro de pruebas y toda la información sobre el incidente, y las herramientas y recursos necesarios para orquestar la estrategia.

4. Revisión (análisis posterior al incidente)

Es obligatorio celebrar una reunión de retroalimentación y revisión en la que participen el equipo de IR, las autoridades de la organización y todas las personas implicadas en el incidente de seguridad para registrar las lecciones aprendidas y analizar la eficacia del plan de IR y sus estrategias en cada fase. Estos son algunos puntos sobre los que reflexionar durante la fase de revisión:

• La causa del incidente y dónde se produjo
• ¿El incidente se pudo haber identificado antes?
• Los resultados del plan de IR y del equipo de IR
• La eficacia de las estrategias en cada fase
• Tareas que pueden haberse pasado por alto
• Cualquier paso que hubiera funcionado mejor si se hubiera hecho de otra manera
• Detección de amenazas para evitar incidentes similares en el futuro

Una vez entendido cómo se debe gestionar la respuesta a un incidente, también es importante darse cuenta de que lograr un proceso de IR eficaz puede ser un reto sin las herramientas adecuadas. A veces, las organizaciones carecen de las competencias necesarias y deben subcontratar la IR. En cualquier caso, para gestionar la IR con eficacia, una herramienta integral de gestión de incidentes es una ventaja para garantizar que los daños y el tiempo de inactividad derivados de los incidentes de seguridad sean mínimos.