Como estar preparado para un incidente de ciberseguridad.

Detectar un incidente a tiempo es una buena medida para saber que su esquema de ciberseguridad esta operando adecuadamente, tener monitoreo y métricas adecuadas le puede permitir actuar acertadamente cuando se presente un incidente. 

Lo recomendado es que tenga preparado un “Plan de respuesta a incidentes de ciberseguridad” el cual contendrá los pasos necesarios para atender de forma organizada un incidente.  

El rollo comienza cuando no se han realizado las tareas para cerrar las posibles brechas por donde los atacantes puedan atentar contra la infraestructura, adicionalmente, si no se monitorean las alertas de las consolas que administradas los principales servicios de la organización no podrá detectar un posible ataque.  La aplicación de los controles preventivos le cierran la puerta a más del 90% de los incidentes de ciberseguridad.

Afortunadamente se existen protocolos que apoyan para saber como atender de forma organizada un posible incidente de ciberseguridad. El siguiente esquema esta basado en el NIST: Computer SecurityIncident Handling Guide.

Existen mucho otros protocolos para atención de incidentes, la mayoría contempla los siguientes paso:




Preparar: Capacitar al personal de seguridad para manejar posibles incidentes mediante entrenamiento, equipamiento y práctica.

Identificar: detectar y decidir si un incidente cumple las condiciones para ser considerado un incidente de seguridad para la organización, y valorar su severidad.

Contener: contención del incidente mediante el aislamiento de sistemas comprometidos para evitar daños transversales a otros sistemas.

Erradicar: detectar la causa raíz del incidente y eliminar las vulnerabilidades de los sistemas afectados.

Recuperar: restaurar los sistemas afectados y asegurar que todos los sistemas están libres de vulnerabilidades y amenazas.

Aprender: analizar los registros de incidentes, actualizar el plan de respuesta y completar la documentación del incidente.

Es más económico para la organización el tener controles preventivos que actuar reactivamente ante un incidente, adicionalmente el contar con un “plan de respuesta a incidentes de ciberseguridad” ayudara en saber como atender el caso, que se puede hacer y que no se debe hacer, por ejemplo reinstalar equipos sin preservar la evidencia para saber por donde fue que ocurrió el incidente.  

Un apunte adicional, si su organización no ha contemplado trabajar organizadamente los temas de ciberseguridad tenga en cuenta que una de estas tres cosas pueden pasar:

  1. Fue atacado y no se dio cuenta.
  2. Esta siendo atacado y no lo ha detectado.
  3. Puede ser víctima de ataques y no se va a enterar.

No hay comentarios:

Publicar un comentario