8 consejos para un plan de gestión de incidencias informáticas

8 consejos para un plan de gestión de incidencias informáticas

La mayoría de nosotros sabemos que no existe la seguridad al 100%, y que –lamentablemente- es sólo una cuestión de tiempo el que suframos un incidente de seguridad.

Pese a esto, es raro ver un buen plan de incidencias informáticas.

Cuando ocurre un incidente, lo habitual es que todos los implicados corran de un lado a otro improvisando los pasos a seguir.

La falta de una política preestablecida nos puede dirigir hacia el desastre, ya que la presión nos puede hacer tomar malas decisiones.

La gestión de incidentes es un tema muy amplio, pero aquí tienes unos consejos para que los tengas en cuenta al preparar un plan. Espero que nunca tengas que usarlos, pero las estadísticas nos demuestran que en algún momento lo harás y el estar preparado te salve de muchos dolores de cabeza (y posiblemente tu trabajo).

1. Ten un plan de respuesta a incidencias

Es, por supuesto, el consejo más obvio, sin embargo te sorprendería el número de empresas “que aún no han tenido tiempo de prepararlo”.

No necesitas que tenga 400 páginas (y mucho menos que sólo sea un folio) pero tener un plan y distribuirlo puede significar una gran diferencia cuando ocurra lo inevitable.

2. Predefine tu equipo de respuesta a incidencias

Asegúrate que sea multidisciplinar. Un buen equipo de respuesta a incidencias no debería consistir únicamente en gente de informática (aunque obviamente deben ser mayoría), además debería incluir miembros de RR.HH., marketing, legal y directivos entre otros.

Por ejemplo, no incluir a marketing puede llevarnos a que comuniquemos erróneamente el incidente, lo que puede ser incluso más dañino que el propio problema.

Todos los miembros del equipo deben conocer su cometido y lo que se espera de ellos. Comprueba periódicamente la lista. Se puede quedar desfasada rápidamente ya que la gente se va de vacaciones, deja la empresa o simplemente se olvida de lo que tenía que hacer.

3. Define tu estrategia: vigilar y aprender o contener y recuperar

Hemos visto gran cantidad de ejemplos de esto últimamente. Cuando se verifica que ha ocurrido un incidente –por ejemplo, un hacker ha comprometido uno de tus servidores- tienes que tomar la decisión de recuperar el control lo antes posible o vigilar al atacante y aprender sus técnicas.

Ésta es la primera decisión que debes tomar ya que requiere una buena preparación, soporte y un equipo bien formado para gestionar el riesgo. La mayor parte de las empresas se centrarán en contener el daño y recuperar los sistemas.

Un análisis detallado y observar el ataque es a menudo un gasto demasiado grande, pero no dejéis de recopilar pruebas y realizar estudios, puede que los necesites en un futuro.

Si eres un objetivo que posiblemente sufra ataques persistentes y a largo plazo (por parte de la competencia o un grupo de hackers al que has ofendido de alguna manera), conocer la manera de actuar de tu adversario puede ayudarte a mejorar tus defensas.

No debes emprender este camino a no ser que dispongas de los recursos necesarios  (gente, sistemas duplicados, infraestructura de red, etc) para llevarlo a buen puerto.

Toma esta decisión antes de nada, discute la forma de encarar los riesgos por parte de la empresa y cambia tus procesos de gestión de incidentes en base a tu decisión. No hace falta decir que no vigilarás y aprenderás de cada ataque, así que define los dos caminos y cuando usar cada uno de ellos.

4. Distribuye información de emergencia

Otro error habitual es depender de la infraestructura habitual de comunicaciones en caso de un incidente.

Imagina que deja de funcionar la red, nadie conoce de memoria los números de teléfono a los que llamar y el correo electrónico no funciona. Será muy complicado gestionar un incidente en esa situación.

Decide que método de comunicación emplearás y comunica los detalles a todas las personas afectadas.

5. Recopila información sobre el ataque

Esto normalmente no se lleva a cabo. La presión, durante y después de la incidencia de seguridad, puede ser muy alta lo que nos hace a apurarnos y cometer errores.

Tienes que asegurarte de que has recopilado los datos necesarios sin perder un tiempo que no tienes. Sabemos que no es una tarea fácil.

Decide como vas a tomar los datos. ¿Usas Volatility para capturar memoria? ¿Apagas una máquina y obtienes una imagen del disco para conseguir el máximo de información antes de que termine el ataque? Crea un plan y prepárate para cuando ocurra.

6. Ten a los usuarios de tu lado

La respuesta a un incidente no es solo responsabilidad del departamento de informática.  Comprueba que tu plan está en consonancia con las políticas de tu empresa.

Quieres asegurarte de que los usuarios sepan qué hacer cuando crean que está ocurriendo un incidente. En particular los administradores de sistemas, los gestores de aplicaciones y los responsables de datos deberían conocer como contactarte en el acto si ocurre algo inusual. En ese momento podremos hacer saltar las alarmas o determinar que estamos fuera de peligro.

No crees el plan y lo dejes olvidado en algún lugar de la intranet.

7. Conoce los procedimientos legales y como denunciar un incidente

Puede que sea necesario que denuncies a las autoridades algunos incidentes, lo malo es que cuando surge la ocasión no sabemos cómo hacerlo.

Desde el robo de información sobre tarjetas de crédito a que te hackeen un servidor web con información confidencial,  son situaciones que deberías denunciar a las autoridades. Infórmate con anticipación del proceso a seguir para no tener que improvisar una vez más.

8. La práctica lleva a la perfección

Práctica con tu equipo posibles escenarios. La práctica es la mejor manera de que cuando surja un incidente todos sepan lo que hacer y no se cometan errores.

Por supuesto, infórmales de que se trata de un simulacro o puede que te encuentres en una situación embarazosa en la que se haya filtrado tu ejercicio al exterior y tengas que informar que se trataba de un simulacro (como ya ha ocurrido con anterioridad).

 

Si quieres más información, aquí tienes dos enlaces sobre el tema, gracias a SANS (Sample Incident Handling Forms) y a NIST (draft on incident handling – PDF)

 

Para manteneros al día de las últimas amenazas haceros fans de nuestra página de Facebook o síguenos en Twitter para intercambiar experiencias en torno al mundo de la seguridad. Si deseas recibir nuestro boletín semanal de seguridad en tu correo electrónico, suscríbete en la siguiente aplicación:

Dejar un comentario

Your email address will not be published. Required fields are marked *