Aquí están seis pasos para la gestión de incidentes de seguridad
La Agencia de Ciberseguridad y Seguridad de Infraestructura publicó un aviso de ciberseguridad en conjunto con otros países para alertar a los proveedores de servicios administrados sobre el creciente peligro de los ciberataques.
El aviso advierte que los delincuentes —incluidos los grupos patrocinados por el estado— podrían explotar a los MSP vulnerables para obtener acceso a los datos de sus clientes y de sus procesos de negocio. En la actualidad, no sólo se trata de la creciente cantidad de incidentes de seguridad en varias áreas de consumo, sino también de un mayor número de ataques al software y las cadenas de suministro de TI.
Para prepararse ante esta creciente situación de amenazas, es importante que los MSP y las compañías revisen y eleven sus precauciones de seguridad. La gestión sistemática de incidentes de seguridad prepara a las compañías y sus empleados de la mejor manera posible para manejar los incidentes de seguridad.
La base para manejar los incidentes de seguridad es crear un plan en el que se definan las tareas y las responsabilidades. En un plan de respuesta ante incidentes, todas las acciones necesarias y las responsabilidades se definen claramente.
1. Preparación: Proporcionar procesos y herramientas de gestión de incidentes
- Con base en las mejores prácticas demostradas, todas las etapas importantes se definen con una herramienta adecuada. Así, en caso de un incidente de seguridad, la información necesaria para responder se puede recopilar en poco tiempo. La comunicación entre todas las partes involucradas y la información de contacto estarán listas.
2. Análisis e identificación: Decidir si ha ocurrido un incidente de seguridad
- Analizar los datos de los sistemas de gestión de registros, los IDS/IPS y los sistemas de intercambio de amenazas, así como los registros del firewall y la actividad de red, ayudan a clasificar los incidentes de seguridad. Una vez que se identifica una amenaza, se debe documentar y comunicar conforme a las políticas establecidas.
3. Contención: Contener la propagación y evitar mayores daños
- Decidir qué estrategia utilizar es lo más importante. La duda principal es cuál vulnerabilidad permitió la intrusión. La mitigación rápida, cómo aislar un segmento de la red, es el primer paso en muchos incidentes, después del cual se conduce un análisis forense para fines de evaluación.
4. Erradicación: Cerrar los vacíos de seguridad y eliminar el malware
- Una vez contenida la posible amenaza, es necesario encontrar la causa raíz del incidente de seguridad. Para lograrlo, se debe eliminar el malware de manera segura, parchar los sistemas, aplicar actualizaciones del software en caso de ser necesario. Por consiguiente, los sistemas deben actualizarse con los parches más recientes y asignarles contraseñas que cumplan los requisitos de seguridad.
5. Recuperación: Reactivar los sistemas y los dispositivos
- Para restablecer la operación normal del sistema, se deben conducir revisiones constantes para asegurar que todos los sistemas operen conforme a lo esperado. Esto se logra por medio de procesos de prueba y supervisión a lo largo de un periodo prolongado. En esta etapa, el equipo de respuesta ante incidentes determina cuándo se establecerán las operaciones y si los sistemas infectados se han limpiado por completo.
6. Lecciones aprendidas: Explicar qué funcionó y qué no funcionó
- Después de la Etapa 5, se debe organizar una reunión de cierre con todas las partes involucradas. Aquí, es de suma importancia aclarar las dudas y cerrar el incidente de seguridad. Ya que, con la información obtenida a partir de dicho intercambio, se pueden identificar y definir mejoras para prevenir y abordar de forma más efectiva incidentes futuros.
