Nueva investigación: Estudio del costo global del ransomware. Vea qué le están costando las infracciones.
Obtener el informe
Blog
/
Contención de Ransomware

Qué hacer en un incidente de seguridad, Parte 2: Respuesta a la técnica

Michael Adjei
,
Director, Ingeniería de Sistemas, EMEA
January 21, 2021
23 min. lectura

Como se discutió en el primera parte de esta serie, la respuesta técnica inicial después de un incidente cibernético es fundamental para contener el incidente y mitigar el robo de datos adicional. A medida que se ve el alcance del incidente cibernético, es importante señalar incluso detalles menores que pueden resultar útiles para formar la respuesta no técnica. Un plan de respuesta a incidentes cibernéticos debe estar firmemente establecido. Gartner define esto como:

También conocido como “plan de respuesta a incidentes informáticos”, es formulado por una empresa para responder a incidentes potencialmente catastróficos relacionados con la computadora, como virus o ataques de hackers. El CIRP debe incluir pasos para determinar si el incidente se originó a partir de una fuente maliciosa y, de ser así, contener la amenaza y aislar a la empresa del atacante.

El plan informa la constitución de los equipos correspondientes quienes manejarán cualquier incidencia que se pueda presentar. Un ejemplo puede ser:

  • Primeros respondedores
  • Táctica (Seguridad)
  • Coordinador de Equipo (Nivel C)
  • Legal
  • Relaciones Públicas

Los primeros respondedores suelen ser el servicio de asistencia de TI que tiende a involucrarse en problemas relacionados con TI y a romper o solucionar problemas en la organización. Si un problema reportado es de naturaleza de seguridad, se escala rápidamente al equipo táctico (de seguridad) que puede involucrar a un equipo externo de respuesta a incidentes más especializado dependiendo de la gravedad del incidente. Este equipo será entonces responsable de la investigación forense más detallada y el análisis de causa raíz. Por lo general, un ejecutivo de nivel C, como un CIO o un CISO, recibiría actualizaciones periódicas que pueden ser alimentadas a la administración de alto nivel, especialmente en el caso grave de un violación de datos. En caso de que surgiera alguna necesidad de comunicación legal o de relaciones públicas, entonces se debería comprometer a los equipos respectivos. Todos estos pasos deben formar parte del Procedimiento Operativo Estándar (SOP) como parte del plan general.

2.1

Todos los empleados dentro de la organización también deben ser claros en las líneas de reporte en caso de que ocurra un incidente. Si los miembros del personal no son conscientes de la importancia de dicha política, será sumamente difícil contar con un plan de respuesta cibernética eficaz.

Por ejemplo, un empleado que recibe un correo electrónico sospechoso debe reportar inmediatamente un incidente de este tipo para que el personal técnico adecuado pueda determinar si es malicioso. También podría ser que se active una alerta en uno de los sistemas de monitoreo cibernético de la organización. En la mayoría de los casos, los actores de amenazas se dirigen al eslabón más débil, al usuario final, y no informar incidentes aparentemente triviales podría ser la diferencia entre detectar los inicios de una campaña maliciosa más grande o no.

Por lo tanto, la parte de respuesta no técnica se ocupa de políticas, procedimientos y procesos que involucran:

  • Evaluación de incidentes
  • Reporte de incidentes
  • Reporting Regulatorio
  • Divulgación pública

Evaluación de incidentes

Es importante hacer una clasificación inicial de un incidente cibernético con base en la información actualmente conocida. El posible nivel de impacto debería ser el peor de los casos, incluso en ausencia de todos los detalles. Al igual que en el ejemplo de referencia discutido en el respuesta técnica inicial, si el incidente cibernético implica un compromiso interno de la cuenta de usuario, entonces cada recurso al que tiene acceso la cuenta comprometida también puede verse afectado.

Esto podría ser recursos como VPN o acceso remoto, acceso al correo electrónico y acceso a recursos de intranet, especialmente en los casos en que la autenticación multifactor o los controles de autenticación de máquina no se utilizaban en el momento del incidente.

2.2

El nivel de impacto potencial debe ser la luz orientadora para la fase de respuesta técnica. Una vez investigada y determinada con cierta certeza la escala completa del incidente, se puede confirmar la evaluación del nivel de impacto conocida. En ese caso, puede ser totalmente posible que el impacto y las implicaciones del incidente no sean tan graves como se pensaba originalmente.

Evaluar el impacto inicial de un incidente es un paso crucial. Proporciona una manera de tomar decisiones informadas sobre otros pasos, como la naturaleza de un informe formal a los reguladores, si se puede requerir una divulgación de comunicaciones públicas o si se deben activar protocolos de antecedentes. En cualquier caso, lo mejor es seguir adelante asumiendo el peor de los casos hasta que se demuestre lo contrario.

Reporte de incidentes

Aunque un incidente de ciberseguridad no equivale automáticamente a una violación importante, sigue siendo esencial realizar un informe de incidentes. En la instancia inicial, este será un informe interno formal que detalla algunos aspectos importantes del incidente. El reporte debe identificar claramente el ID del incidente y el propietario del incidente.

2.3

El informe formal también debe capturar alguna información útil, como el tipo de incidente, un resumen del incidente, cronograma, impacto y análisis de causa raíz, cualquier acción de remediación o recuperación y, finalmente, cualquier lección aprendida del incidente específico. Un ejemplo es el siguiente:

  • Fecha del incidente
  • ID de incidente
  • Propietario del incidente
  • Resumen del incidente
  • Cronología del incidente
  • Detalle del incidente
  • Análisis de Impacto
  • Causa raíz
  • Remediación y Recuperación
  • Lecciones aprendidas
  • Apéndice

El informe debe contener detalles sobre los usuarios afectados y sus cuentas y un cronograma de las ocurrencias previas, durante y después del incidente. También se deben detallar los activos afectados de la organización, como los sistemas informáticos, los datos o los sitios web. Esto ayudará a informar el análisis de impacto final y el análisis de causa raíz. Todos los informes deben ser debidamente archivados y luego catalogados al cierre de cada incidente reportado.

Regulación y Divulgación Pública

Cuando se trata con reguladores, dependiendo de la vertical de una organización (atención médica, finanzas, transporte o venta minorista), se deberán seguir marcos y regulaciones específicos. También habrá regulaciones generales de cumplimiento que atraviesan diferentes verticales, como GDPR, especialmente en incidentes que involucran datos personales de clientes o empleados. Aquí, también puede ser necesario informar a las fuerzas del orden. Este puede ser el organismo encargado de hacer cumplir la ley responsable de recibir dichos informes. En el caso de organizaciones que también proporcionan defensa o forman parte de lo que se considera infraestructura nacional crítica, puede que ya exista una línea clara de reporte a dicha agencia debido a los requerimientos regulatorios.

2.4

También se debe considerar de manera significativa el lado legal del incidente. Nuevamente, si el incidente implica una violación de datos de la información personal, también debe haber una preparación adecuada para un posible desafío legal. Las organizaciones deben buscar asesoramiento jurídico competente. El asesor legal también debe informar sobre el contenido de cualquier divulgación y quién dentro de la organización hace formalmente dicha divulgación. Dicho subequipo puede incluir:

  • Nivel C (CIO/CISO o equivalente)
  • Equipo de Respuesta a Incidentes (Técnico)
  • Legal
  • Relaciones Públicas

Si se confirma una violación de datos significativa, lo que significa que se ha accedido inapropiadamente a los datos personales o de los clientes, puede ser necesario hacer un anuncio público. Esta es una de las partes más delicadas de la respuesta no técnica, ya que puede tener consecuencias negativas directas o indirectas para la organización legal y financieramente. Por lo tanto, es de suma importancia que se consulte a un equipo de relaciones públicas competente sobre la mejor manera de abordar cualquier divulgación de este tipo. En la mayoría de los casos, el marco regulatorio determinará cuándo y cómo hacer una divulgación pública. También determinará cuándo y cómo involucrar a los reguladores.

Ahora debería quedar claro que el documento de política de ciberseguridad de cada organización debe incluir un plan de respuesta a incidentes cibernéticos. Necesita un equipo de respuesta permanente y un procedimiento operativo estándar (SOP) claro y procesable. Todos los miembros del personal, contratistas y personal afiliado deben ser plenamente conscientes de la política cibernética y las líneas de reporte. Las organizaciones locales e internacionales, como el NIST, proporcionan marcos públicos para guiar la planificación de la respuesta a incidentes. Cuando se trata de la respuesta a incidentes cibernéticos, la planificación y la preparación son la clave definitiva para el éxito, independientemente del tamaño o la estatura de cualquier organización, especialmente en esta era de 'asumir una violación. '

Temas relacionados

No se han encontrado artículos.

Artículos relacionados

Qué hacer en un incidente cibernético: respuesta técnica
Contención de Ransomware

Qué hacer en un incidente cibernético: respuesta técnica

Leer más
9 razones para usar Illumio para la contención de ransomware
Contención de Ransomware

9 razones para usar Illumio para la contención de ransomware

Descubra cómo la visibilidad en tiempo real y los sencillos controles de Illumio reducirán rápidamente sus mayores fuentes de riesgos de ransomware, como los puertos RDP no utilizados.

Leer más
Desmitificación de técnicas de ransomware usando Ensamblados.net: Ensamblables EXE frente a DLL
Contención de Ransomware

Desmitificación de técnicas de ransomware usando Ensamblados.net: Ensamblables EXE frente a DLL

Conozca las diferencias clave entre Ensamblados.net (EXE frente a DLL) y cómo se ejecutan en un código inicial de alto nivel.

Leer más
No se han encontrado artículos.

Assume Breach.
Minimize Impact.
Increase Resilience.

Ready to learn more about Zero Trust Segmentation?

Más información