ransino

Implentando una Governance de Defensa Corporativa Parte 3. Plan de Respuesta a Incidentes

Dentro de la serie sobre Governance de defensa corporativa . Hoy vamos a ver mas en detalle como planear un plan de respuesta a incidentes.
El plan de respuesta a incidentes (IRP) de una organización debería ser las primeras líneas de defensa contra ataques y amenazas. Los IRP son manuales que describen cómo las organizaciones detectan y limitan el impacto de los incidentes de seguridad.
Enumeran los diferentes actores dentro de la organización que tienen responsabilidades específicas y proporcionan una serie de instrucciones para determinar el alcance del riesgo, las opciones de respuesta y los protocolos de comunicación. En última instancia, el objetivo del IRP es reducir las posibilidades de que ocurra un incidente de seguridad similar en el futuro.

En el dominio de la seguridad de TI, los IRP abordarán las infracciones de datos, la denegación de servicio / ataques de denegación de servicio distribuidos, infracciones de firewall, brotes de virus / malware o amenazas internas. Pueden ocurrir dos posibilidades significativas si una organización no tiene un IRP apropiado:
  • Puede no detectar un ataque en primer lugar
  • Puede que no responda correctamente para contener el ataque y recuperarse lo suficiente.

Por lo que vuestro DPO va a estar la mar de contento y veras las risas si existiera una auditoria de GDPR o ePrivacy.

Creación de un plan de respuesta a incidentes

Une el IRP con los procesos de Negocio

Un IRP es un manual de seguridad. Y como muchos manuales, algunas organizaciones lo tendran en una biblioteca tanto virtual como impresa poniendose gorda por el poco uso. Esto crea una falsa seguridad y es peor que no tener IRP en su lugar. Por lo tanto, la primera etapa de la creación de un IRP utilizable es preguntar qué papel juega la seguridad de la información en su organización. Adapte las necesidades comerciales y el riesgo operativo a la seguridad de la información, y permita que esto informe a su IRP.

Involucrar al personal relevante

Las personas que serán propietarias del IRP y responderán a los incidentes deben tomar el control del proceso. Además de los equipos de seguridad, participarán varias otras funciones, incluidos los gerentes operativos y de comunicación.


Establecer KPI para el plan de respuesta a incidentes

Si bien cada incidencia de ataque o amenaza será diferente, los indicadores clave de rendimiento (KPI) comparables medirán el éxito o las debilidades del IRP. Los KPI de muestra incluyen: tiempo para detectar y falsos positivos.


Dar soporte


El equipo responsable del IRP necesitará herramientas y recursos para funcionar correctamente. Estos pueden incluir software de detección, líneas de comunicación seguras, capacitación para el personal y acceso a recursos de seguridad externos.


Probar y revisar


Simular una brecha. Implementar el IRP. Evaluar su desempeño. Repetir. Los ataques y las amenazas evolucionan constantemente y, por lo tanto, el IRP debe probarse y actualizarse a intervalos regulares para garantizar que no acumule polvo. Quien dijo que le personal de Seguridad estaba comiendo manolitos esperando ataques.

Para ayudar a crear un IRP a medida, las organizaciones deben conocer los seis pasos estándar involucrados en la respuesta a incidentes. Si bien el énfasis en cada paso variará para diferentes incidentes, estos seis pasos formarán la columna vertebral de cualquier respuesta.
  1. Preparación: esta etapa contiene varias sub-etapas que cubren las políticas y prácticas de la organización; estrategia de respuesta; comunicación; documentación; personal; control de acceso; y capacitación / herramientas.
  2. Detección: el ataque o intento de ataque debe identificarse mediante la verificación de varias fuentes, como archivos de registro, mensajes de error, firewalls y otros sistemas de detección de intrusos. Esto debería revelar el tipo y la gravedad del ataque.
  3. Contención: esta etapa se puede dividir en tres sub-etapas:
    1. Contención a corto plazo: actúe lo más rápido posible para limitar el daño (por ejemplo, aislar el nodo de red infectado)
    2. Copia de seguridad del sistema: captura la imagen forense del sistema afectado para su posterior análisis y / o evidencia
    3. Contención a largo plazo: repare el sistema dañado al estado operativo mientras reconstruye un sistema limpio en la siguiente etapa.
  4. Erradicación: resuelve el problema y elimina los elementos maliciosos; Esto puede implicar la reinvención de las unidades del sistema para evitar la reinfección y la actualización de las medidas de seguridad (por ejemplo, parches para corregir vulnerabilidades).
  5. Recuperación: Traiga los sistemas afectados cuidadosamente a la producción completa, asegurando suficientes pruebas, monitoreo y validación en cada etapa; el sistema aún puede ser vulnerable y evitar réplicas es crítico.
  6. Lecciones aprendidas: complete toda la documentación pendiente y presente un informe con cualquier otra información que pueda ser útil para el análisis. Los detalles deben incluir un cronograma de lo que ocurrió, qué medidas se tomaron, áreas de mejora y qué personal necesita ser informado de cualquier cambio en los protocolos de seguridad.

 

Deja un comentario

Este sitio utiliza Akismet para reducir el spam. Conoce cómo se procesan los datos de tus comentarios.