Skip to content
Natuurondernemer
    junio 30, 2020 by admin

    Planificación de la respuesta a incidentes: Una lista de comprobación para construir su plan de respuesta a incidentes de ciberseguridad

    Planificación de la respuesta a incidentes: Una lista de comprobación para construir su plan de respuesta a incidentes de ciberseguridad
    junio 30, 2020 by admin

    Este post fue actualizado por última vez el 10 de marzo de 2021 a las 09:27 am

    ¿Está su organización preparada para responder a una brecha de seguridad o a un ciberataque? Según muchos expertos en seguridad, es una cuestión de «cuándo» y no de «si» su empresa experimentará un incidente grave de ciberseguridad. Un plan de respuesta a incidentes es su mejor oportunidad para defender a su organización de sufrir los efectos de una violación de datos. El momento de planificar y preparar su respuesta a los incidentes de seguridad -cualquiera que sea- es mucho antes de que ocurran.

    ¿Qué es un plan de respuesta a incidentes de seguridad?

    Un plan de respuesta a incidentes de ciberseguridad (o plan IR) es un conjunto de instrucciones diseñado para ayudar a las empresas a prepararse, detectar, responder y recuperarse de los incidentes de seguridad de la red. La mayoría de los planes de respuesta a incidentes se centran en la tecnología y abordan cuestiones como la detección de malware, el robo de datos y las interrupciones del servicio. Sin embargo, cualquier ciberataque significativo puede afectar a una organización a través de las funciones de múltiples maneras, por lo que el plan también debe abarcar áreas como recursos humanos, finanzas, servicio al cliente, comunicaciones con los empleados, legal, seguros, relaciones públicas, reguladores, proveedores, socios, autoridades locales y otras entidades externas.

    Existen marcos de respuesta a incidentes estándar de la industria de organizaciones como NIST y SANS que proporcionan directrices generales sobre cómo responder a un incidente activo. Sin embargo, el plan de respuesta a incidentes de su organización debe ser mucho más específico y procesable, detallando quién debe hacer qué y cuándo. Hemos elaborado una lista de comprobación para esbozar los componentes clave de un plan de IR cibernético para ayudarle a construir el tipo de guía adecuado para su propia organización.

    En cualquier caso -ya sea aprovechando una plantilla de plan de respuesta a incidentes o su propio plan de IR- los objetivos siguen siendo los mismos: minimizar los daños, proteger sus datos y ayudar a su organización a recuperarse del incidente lo más rápidamente posible.

    Cómo crear un plan de respuesta a incidentes

    Cualquier organización con activos digitales (ordenadores, servidores, cargas de trabajo en la nube, datos, etc.) tiene el potencial de experimentar un ciberataque o una violación de datos. Desafortunadamente, la mayoría de las organizaciones no se dan cuenta de que han experimentado una violación de datos hasta que es demasiado tarde. Crear un plan de respuesta a incidentes de ciberseguridad le ayuda a prepararse para lo inevitable y a equipar a su equipo de seguridad informática para responder antes, durante y después de un ciberataque. Aunque esta entrada del blog no entrará en la profundidad y el detalle que necesita en un verdadero plan de respuesta a incidentes, le ayudará a entender los factores y consideraciones clave en cada etapa del proceso de respuesta a incidentes: preparación, detección, respuesta, recuperación y seguimiento posterior al incidente.

    En realidad, su plan de respuesta a incidentes de seguridad debe aprovecharse de forma continua -un documento vivo- impulsando las actividades recurrentes de detección y respuesta (caza de amenazas, investigaciones de incidentes cibernéticos, respuesta a incidentes y remediación/recuperación). Al realizar actividades continuas de detección y respuesta a incidentes, puede mejorar la higiene de TI y de seguridad y proteger mejor a su organización de amenazas desconocidas, atacantes ocultos y, potencialmente, prevenir una violación de datos.

    Para el propósito de este blog, hemos dividido el proceso de planificación de respuesta a incidentes en cinco fases: Preparación, Detección, Respuesta, Recuperación y Seguimiento.

    Preparación

    La preparación es la primera fase de la planificación de la respuesta a incidentes y podría decirse que es la más crucial para proteger su negocio y sus activos digitales. Durante la etapa de preparación, documentará, delineará y explicará las funciones y responsabilidades de su equipo de IR, incluyendo el establecimiento de la política de seguridad subyacente que guiará el desarrollo de su plan de IR.

    • Determine la ubicación exacta, la sensibilidad y el valor relativo de toda la información de su organización que necesita ser protegida.
    • Medir si actualmente cuenta con suficientes recursos de TI para responder a un ataque o si se necesitaría el apoyo de terceros.
        • Conseguir la implicación de los ejecutivos para que el plan cuente con la plena aprobación de la cúpula de la organización.
        • Asignar funciones y responsabilidades para todas las partes interesadas pertinentes, incluidos los departamentos de TI, RRHH, comunicaciones internas, atención al cliente, jurídico, relaciones públicas y asesores.
        • Establezca una cadena de mando que incluya tanto a los responsables de TI como a los de la empresa. Quién es el comandante del incidente? ¿Quién pone en marcha el plan de respuesta a incidentes? ¿Quién tiene autoridad para «detener el trabajo», como el cierre de emergencia de los sitios web de la empresa?
        • Mapee el flujo de trabajo de respuesta a incidentes entre las diferentes partes interesadas. ¿Cuándo interviene el departamento de recursos humanos? ¿Cuándo interviene el departamento legal? Cuándo se alerta a los medios de comunicación? ¿Cuándo intervienen las autoridades externas?
        • Recopile y actualice la información de contacto 24/7/365 (correo electrónico, texto, VOIP, etc.) de todos los miembros del equipo de respuesta a incidentes, sus respaldos y los gerentes. Establezca canales alternativos de comunicación si los canales habituales se ven comprometidos o no están disponibles.
        • Identifique los requisitos normativos de ciberseguridad para la organización en todas las funciones y desarrolle una guía sobre cómo interactuar con las fuerzas del orden y otras autoridades gubernamentales en caso de incidente.
        • Desarrollar y mantener una lista de proveedores tecnológicos preferidos para los análisis forenses, la sustitución de hardware y los servicios relacionados que puedan ser necesarios antes, durante o después de un incidente.
            • Establecer procedimientos para que los equipos de TI reciban alertas claras y procesables de todo el malware detectado. Las explicaciones específicas pueden ayudar a los miembros del equipo a evitar descartar la alerta como un falso positivo.
            • Almacene las credenciales privilegiadas, incluidas las contraseñas y las claves SSH, en una bóveda segura y centralizada.
            • Rota automáticamente las credenciales privilegiadas, aísla las sesiones de las cuentas privilegiadas de los empleados temporales y escanea regularmente las cuentas huérfanas de los antiguos empleados que puedan seguir proporcionando acceso no autorizado.
                • Pide a los empleados que informen de correos electrónicos y actividades sospechosas que puedan comprometer la seguridad de la red.
                • Asegúrese de que dispone de un sistema limpio listo para restaurar, lo que puede implicar una reimagen completa de un sistema o una restauración completa a partir de una copia de seguridad limpia.
                    • Establezca un plan de comunicación completo e integrado para informar a los públicos internos y externos sobre los incidentes de forma rápida, precisa y coherente.

                    Detección & Análisis

                    La fase de detección de la respuesta a incidentes de seguridad y la planificación de las IR implica la monitorización, la detección, la alerta y la notificación de eventos de seguridad. Esto incluye la identificación de amenazas conocidas, desconocidas y sospechosas, es decir, aquellas que parecen ser de naturaleza maliciosa, pero que en el momento del descubrimiento no se dispone de suficientes datos para tomar una determinación de cualquier tipo.

                    Cuando se detecta una pista, una amenaza o un incidente de seguridad, su equipo de respuesta a incidentes debe recopilar y documentar inmediatamente (si no lo hace automáticamente con la ayuda de un software de respuesta a incidentes cibernéticos) información adicional -pruebas forenses, artefactos y muestras de código- para determinar la gravedad, el tipo y el peligro del incidente, y almacenar esos datos para utilizarlos en el procesamiento del atacante o atacantes en un momento posterior.

                    • Desarrolle una estrategia de detección proactiva basada en herramientas que puedan escanear automáticamente sus hosts, sistemas y servidores físicos y virtuales en busca de cualquier aplicación, identidad o cuenta vulnerable.
                    • Considere las soluciones tradicionales como las plataformas de detección y respuesta de puntos finales (EDR), el software antivirus de última generación (NGAV) o las herramientas de análisis del comportamiento de usuarios y entidades (UEBA/UBA) para detectar el malware.
                    • También considere las capacidades basadas en el análisis profundo y el análisis forense que pueden evaluar la salud de un punto final validando lo que se está ejecutando en la memoria en un momento dado.
                    • Realizar evaluaciones de compromiso para verificar si una red ha sido vulnerada e identificar rápidamente la presencia de malware conocido o de día cero y de amenazas persistentes -activas o latentes- que hayan evadido sus defensas de ciberseguridad existentes.

                    Respuesta

                    La respuesta a los incidentes de seguridad puede adoptar varias formas. Las acciones de respuesta a incidentes pueden incluir la clasificación de las alertas de sus herramientas de seguridad de punto final para determinar qué amenazas son reales y/o la prioridad en la que abordar los incidentes de seguridad. Las actividades de respuesta a incidentes también pueden incluir la contención y neutralización de la(s) amenaza(s) -aislando, apagando o «desconectando» de otro modo los sistemas infectados de su red para evitar la propagación del ciberataque. Además, las operaciones de respuesta a incidentes incluyen la eliminación de la amenaza (archivos maliciosos, puertas traseras ocultas y artefactos) que condujeron al incidente de seguridad.

                    • Contenga inmediatamente los sistemas, las redes, los almacenes de datos y los dispositivos para minimizar la amplitud del incidente y aislarlo para que no cause daños generalizados.
                    • Determine si se ha robado o corrompido algún dato sensible y, en caso afirmativo, cuál podría ser el riesgo potencial para su empresa.
                        • Elimine los archivos infectados y, si es necesario, sustituya el hardware.
                        • Mantenga un registro exhaustivo del incidente y la respuesta, que incluya la hora, los datos, la ubicación y el alcance de los daños del ataque. ¿Fue interno, externo, una alerta del sistema o uno de los métodos descritos anteriormente? ¿Quién lo descubrió y cómo se informó del incidente? Enumere todas las fuentes y momentos por los que ha pasado el incidente. ¿En qué momento se involucró el equipo de seguridad?
                        • Conserve todos los artefactos y detalles de la brecha para un análisis posterior del origen, el impacto y las intenciones.
                            • Prepare y divulgue declaraciones públicas tan pronto como sea posible, describa con la mayor precisión posible la naturaleza de la brecha, las causas fundamentales, el alcance del ataque, los pasos hacia la reparación y un esquema de futuras actualizaciones.
                            • Actualice todos los cortafuegos y la seguridad de la red para capturar pruebas que puedan utilizarse posteriormente para los análisis forenses.
                                • Intervenga el equipo legal y examine el cumplimiento y los riesgos para ver si el incidente afecta a alguna normativa.
                                • Contacte con las fuerzas de seguridad si procede, ya que el incidente también puede afectar a otras organizaciones. La inteligencia adicional sobre el incidente puede ayudar a erradicar, identificar el alcance o ayudar a la atribución.

                                Recuperación y seguimiento

                                Las actividades posteriores al incidente (acciones de recuperación y seguimiento) incluyen la erradicación del riesgo de seguridad, la revisión y la elaboración de informes sobre lo sucedido, la actualización de su inteligencia de amenazas con nueva información sobre lo que es bueno y lo que es malo, la actualización de su plan de IR con las lecciones aprendidas del incidente de seguridad, y la certificación y posterior recertificación de que su entorno está de hecho libre de la(s) amenaza(s) a través de una evaluación de compromiso de ciberseguridad posterior al incidente o una evaluación de riesgos de seguridad y TI.

                                Recuperación

                                • Erradicar el riesgo de seguridad para garantizar que el atacante no pueda volver a acceder. Esto incluye la aplicación de parches en los sistemas, el cierre del acceso a la red y el restablecimiento de las contraseñas de las cuentas comprometidas.
                                • Durante el paso de erradicación, cree una identificación de la causa raíz para ayudar a determinar la ruta de ataque utilizada, de modo que se puedan mejorar los controles de seguridad para evitar ataques similares en el futuro.
                                • Realice un análisis de vulnerabilidad en toda la empresa para determinar si pueden existir otras vulnerabilidades.
                                    • Restaure los sistemas al estado anterior al incidente. Compruebe la pérdida de datos y verifique que se ha recuperado la integridad, disponibilidad y confidencialidad de los sistemas y que la empresa vuelve a funcionar con normalidad.
                                    • Continúe recopilando registros, volcados de memoria, auditorías, estadísticas de tráfico de red e imágenes de disco. Sin una adecuada recopilación de pruebas, el análisis forense digital es limitado, por lo que no se producirá una investigación de seguimiento.

                                    Seguimiento

                                    • Complete un informe de respuesta a incidentes e incluya todas las áreas de la empresa que se vieron afectadas por el incidente.
                                    • Determine si la dirección está satisfecha con la respuesta y si la organización necesita invertir más en personal, formación o tecnología para ayudar a mejorar su postura de seguridad.
                                    • Comparta las lecciones aprendidas. ¿Qué ha ido bien, qué no y cómo pueden mejorarse los procedimientos en el futuro?
                                    • Revise, pruebe y actualice el plan de respuesta a incidentes de ciberseguridad de forma periódica, tal vez anualmente si es posible.
                                    • Realice una evaluación de compromiso u otros escaneos de seguridad de forma periódica para garantizar la salud de los sistemas, redes y dispositivos.
                                    • Actualice los planes de respuesta a incidentes después de una reestructuración del departamento o de otra transición importante.
                                        • Mantenga a todas las partes interesadas informadas sobre las últimas tendencias y los nuevos tipos de violaciones de datos que se producen. Promueva el mensaje de que «la seguridad es un trabajo de todos».

                                        Conclusión

                                        El objetivo de nuestra lista de comprobación del plan de respuesta a incidentes cibernéticos es ayudar a su equipo de seguridad de TI a desarrollar un plan de respuesta a incidentes que sea completo, coordinado, repetible y eficaz.

                                        Tenga en cuenta que el desarrollo de un plan de respuesta a incidentes de ciberseguridad nunca es un ejercicio de una sola vez. Desafortunadamente, sin una formación regular de respuesta a incidentes y ejercicios de IR, incluyendo escenarios de ciberataques en vivo, las organizaciones y sus equipos de seguridad de TI pueden encontrarse repentinamente superados por los hackers que pivotan en sus estrategias de ataque/TTPs y su elección de malware.

                                        Lo que funcionó en el pasado podría no funcionar mañana. El plan de respuesta a incidentes de seguridad adecuado debe ser un documento vivo que se adapte a la rápida evolución del panorama actual de las amenazas.

                                        Descargue nuestra lista de comprobación del plan de ciberseguridad IR para empezar a crear su propio plan de respuesta a incidentes, o póngase en contacto con nosotros para solicitar una consulta, una evaluación del compromiso o para saber cómo Infocyte permite una detección de amenazas y una respuesta a incidentes rápidas, flexibles y asequibles.

    Previous articleIGOR MAZURENKO - ENTRENAMIENTO PARA LOS PRINCIPIANTES # 1 # Armwrestling # Armpower.netNext article Cuidado de un tubo de drenaje de succión cerrado

    Deja una respuesta Cancelar la respuesta

    Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

    Entradas recientes

    • Encontrarte a ti mismo (y a los demás…) en los anuarios online
    • Cómo configurar un minero ASIC de bitcoin
    • Chris Martin cumple años en Disneylandia con Dakota Johnson
    • ¿Qué es un sitio del Superfondo?
    • Los gusanos de la sangre con cebo de pesca tienen picaduras de abeja
    • 42 recetas de sopa de olla de cocción lenta saludables
    • 3 sorprendentes riesgos de una mala postura
    • Peces Betta hembra
    • ¿Qué son las corrientes oceánicas?
    • Nike se gastó 15.000 dólares en una máquina especial sólo para fabricar las zapatillas del pívot de Florida State Michael Ojo

    Archivos

    • abril 2021
    • marzo 2021
    • febrero 2021
    • enero 2021
    • diciembre 2020
    • noviembre 2020
    • octubre 2020
    • septiembre 2020
    • agosto 2020
    • julio 2020
    • junio 2020
    • mayo 2020
    • abril 2020
    • DeutschDeutsch
    • NederlandsNederlands
    • EspañolEspañol
    • FrançaisFrançais
    • PortuguêsPortuguês
    • ItalianoItaliano
    • PolskiPolski

    Meta

    • Acceder
    • Feed de entradas
    • Feed de comentarios
    • WordPress.org
    Posterity WordPress Theme