La respuesta a incidentes de seguridad ofrece una manera estratégica de identificar, priorizar y contener los ciberataques, así como de gestionar su resolución y sus consecuencias.
Los ciberataques son como las bolas de nieve que bajan por una colina: tienden a comenzar pequeños. Lamentablemente, muy pocas empresas tienen implementados los recursos o procesos adecuados para mitigar estas amenazas por completo antes de que proliferen. Y, cuando los ciberataques tienen permitido pasar de incidentes menores a convertirse en riesgos empresariales importantes, pueden generar consecuencias devastadoras. Las investigaciones demuestran que, de media, las empresas tardan 128 días en detectar una infracción. Es un total de cuatro meses, durante los cuales un atacante puede robar datos, dañar tus sistemas e interrumpir tu capacidad de hacer negocios.
La respuesta a incidentes de seguridad (SIR, del inglés “security incident response”) está diseñada para ayudar a las organizaciones a responder a estos tipos de intrusiones en la red antes de que tengan un impacto en su negocio. Estructurada para gestionar muchos tipos de ciberamenazas e incidentes de seguridad, la SIR establece flujos de trabajo y procedimientos comprobados y escalables que los centros de operaciones de seguridad (SOC, del inglés “security operation centers”) y los equipos de respuesta a incidentes pueden utilizar para minimizar los impactos en la empresa y reducir los tiempos de recuperación.
La respuesta a incidentes de seguridad es una subcategoría de iniciativas de respuesta a incidentes más generales que también cubren problemas no relacionados con la seguridad. La SIR está diseñada específicamente para abordar ataques maliciosos contra los sistemas digitales de una empresa. Esto incluye, entre otros, las siguientes categorías de incidentes de seguridad:
Una infracción del sistema informático, también llamada filtración de datos o infracción de la seguridad de TI, se produce cuando un atacante no autorizado obtiene acceso a los datos informáticos, las aplicaciones de software, las redes o los dispositivos de una empresa.
Los atacantes, tanto internos como externos, que obtienen acceso a las redes de una organización pueden intentar realizar cambios en diversas herramientas, aplicaciones, datos u otros sistemas sensibles.
El hardware no cifrado puede representar una amenaza grave si acaba en manos no autorizadas. Si se pierden o roban dispositivos empresariales, las empresas deben disponer de planes para abordar el riesgo de seguridad.
A veces, el objetivo de un ciberataque no es robar datos, sino causar interrupciones. Un ataque de denegación de servicio (DoS, del inglés “denial of service”) inundará la red de destino con tráfico, sobrecargando así su capacidad y forzando un cierre.
Los cibercriminales que obtienen acceso a los sistemas de una empresa pueden intentar hacerse con el control de los recursos o las herramientas de TI: a menudo, esta es la base de un ataque de ransomware.
A menudo, la manera más rápida de que un atacante obtenga acceso es a través del secuestro de una cuenta de usuario autorizada. Las cuentas vulneradas pueden ser especialmente difíciles de detectar.
Al igual que la bola de nieve que crece a medida que va bajando, los incidentes de seguridad que no se abordan ni se contienen casi siempre escalarán. Esto puede significar de todo, desde credenciales de usuario perdidas y datos de la empresa y del cliente vulnerados, hasta tiempo de inactividad costoso y que daña la reputación, hasta un colapso total del sistema. La respuesta a incidentes de seguridad permite a los equipos de SOC contar con los recursos, las herramientas y los procesos correctos para localizar y priorizar esos incidentes de seguridad antes de que tengan la oportunidad de comenzar a escalarse.
Mediante el establecimiento de prácticas recomendadas, flujos de trabajo automatizados y colaborativos, y planes paso a paso de mitigación de amenazas que abarcan cada fase de la respuesta a amenazas, la SIR existe para detener las intrusiones lo más rápido posible y proporcionar a las empresas estrategias de respuesta demostradas y escalables para la recuperación rápida una vez que la filtración se haya contenido y eliminado.
Además de garantizar una recuperación rápida de posibles eventos de filtración de datos, la respuesta a incidentes de seguridad ayuda a las empresas a cumplir con los estándares de cumplimiento normativo, como los que exige la ley dentro de sectores como el de la atención médica y el financiero. Por último, la SIR protege la reputación de la marca que, de otro modo, podría sufrir daños permanentes como resultado de una filtración que se ha llevado a cabo correctamente.
Aunque tu respuesta a incidentes de seguridad puede incluir tareas para cada nivel de su organización, como los departamentos de TI, riesgo, RR. HH. y legal, la mayor parte de la responsabilidad recaerá sobre tu equipo de respuesta a incidentes. Estos equipos normalmente constan de los siguientes roles:
Un director de respuesta a incidentes adopta el liderazgo en la respuesta a incidentes, supervisa las acciones, prioriza las amenazas y actúa como enlace entre el equipo de respuesta y el resto de la organización. El respaldo al equipo de gestión es esencial para que los planes de respuesta a incidentes de seguridad sean eficaces, por lo que los gestores de respuesta a incidentes deben garantizar la aprobación de los ejecutivos de la categoría C-suite antes de que se pueda implementar cualquier plan.
Los analistas de seguridad son la “base” durante el incidente. Estos analistas deben disponer de la formación adecuada para identificar incidentes reales entre posibles falsos positivos, determinar el tiempo, la ubicación y los detalles del incidente, y ubicar y mantener cualquier prueba que el intruso pueda haber dejado.
Por último, los investigadores de amenazas intentan definir la gravedad y el alcance de la filtración. Buscan en Internet la información confidencial que pueda haberse extraído de los sistemas de la empresa. También ayudan a desarrollar una base de datos de incidentes anteriores para mejorar la inteligencia antiamenazas de la empresa.
Cada uno de estos puestos desempeña un papel clave a la hora de responder a un incidente de seguridad y recuperarse del mismo. Algunas empresas optan por externalizar algunas de estas responsabilidades, pero, tanto si creas tu equipo completamente interno como si contratas uno externo, tu equipo de respuesta a incidentes será integral para garantizar que tu organización siga correctamente tu plan de respuesta a incidentes de seguridad.
Para que la respuesta a incidentes de seguridad sea efectiva, debe estar completamente preparada y lista para implementarse mucho antes de que se produzca el incidente de seguridad en cuestión. Un plan de respuesta a incidentes de seguridad (SIRP) es un conjunto oficial y formal de documentación que detalla claramente las medidas que deben tomarse en cada etapa de la respuesta a incidentes de seguridad de una empresa. Al mismo tiempo, el SIRP debe describir los roles y responsabilidades de respuesta a la seguridad en toda la organización, y abordar cómo estos roles deben comunicarse e interactuar dentro de los protocolos de respuesta establecidos.
Debido a que el SIRP está diseñado para una implementación rápida durante las primeras horas más críticas de un ataque, debe ser claro, inequívoco en relación con la terminología y el idioma, y fácil de seguir. Los SIRP a menudo incluyen o hacen referencia a una biblioteca de playbooks de respuestas a incidentes.
En su aspecto más básico, un SIRP es un conjunto de instrucciones para que los equipos de respuesta lo sigan; les permite identificar amenazas, responder eficazmente y reducir el impacto del incidente de seguridad en general con velocidad y precisión.
Dado que hay tantos factores que intervienen en la rapidez con la que una empresa puede implementar su estrategia de respuesta, la mayoría de los SIRP siguen un formato establecido que consta de seis etapas clave:
La primera fase de la respuesta a incidentes está dedicada a preparar al equipo de TI, SOC y a otros miembros de los equipos de respuesta para abordar las amenazas cuando surgen. Es probable que esta sea la etapa más importante de tu SIRP, y debes tener en cuenta la formación de respuesta de los empleados, asegurar la financiación y la aprobación correctas, y establecer estándares de documentación. Muchas empresas eligen participar en simulacros para ayudar a todas las personas involucradas a familiarizarse con sus responsabilidades.
Debido a que una filtración puede originarse en muchas áreas diferentes, es esencial que los equipos de respuesta tengan acceso a procedimientos para identificar y validar posibles amenazas antes de escalarlas al estado de incidente de seguridad verificado. La etapa de identificación debe ser capaz de determinar cuándo se produjo un evento, cómo se descubrió, qué áreas puede haber afectado, cuánto efecto puede tener sobre las operaciones actuales y si se conoce el punto de entrada.
Con la amenaza totalmente verificada, la siguiente fase consiste en evitar que avance más a través del sistema. La contención es un paso esencial y no debe omitirse a favor de pasar directamente hacia la etapa de erradicación; eliminar simplemente el malware puede arruinar tus posibilidades de reunir pruebas que puedas utilizar para fortalecer tu red contra ataques similares en el futuro. Desconecta y pon en cuarentena los sistemas vulnerados; asimismo, si es posible, implementa sistemas de copias de seguridad para evitar la pérdida de operaciones empresariales. Aplica parches a todos tus sistemas, revisa los protocolos de acceso remoto y haz que todas las cuentas administrativas cambien sus credenciales de inicio de sesión.
Una vez que la amenaza esté contenida y se hayan recopilado todos los datos pertinentes, ahora puedes comenzar a eliminar de forma segura cualquier malware del sistema. Es esencial que se elimine todo el malware; un barrido no exhaustivo que deje rastros del ataque puede permitir todavía el acceso no autorizado a tus datos y permitir que el malware vuelva a activarse en el futuro.
Mitigar una amenaza es bueno; mejorar tus sistemas para evitar que los incidentes de seguridad afecten a tu empresa es mejor. Después de abordar correctamente el incidente, habla con los miembros del equipo de respuesta y otras partes interesadas para identificar y documentar lo que has aprendido de la experiencia. A continuación, estas lecciones se pueden aplicar a fin de preparar mejor tus sistemas para incidentes futuros, lo que optimiza tanto la priorización como la respuesta.
A medida que las amenazas de seguridad siguen creciendo en términos de frecuencia, complejidad y sofisticación, la respuesta a incidentes de seguridad ha pasado de ser un diferenciador competitivo a un estándar de seguridad esencial. Pero cuando cada segundo cuenta, los equipos de seguridad descubren que sencillamente no tienen la capacidad de investigar, verificar y responder exhaustivamente a cada posible incidente de seguridad cuando se produce. ServiceNow proporciona la solución.
Respuesta a incidentes de seguridad de ServiceNow® transforma la estrategia estándar de investigación, respuesta y recuperación de la seguridad de TI aplicando competencias avanzadas de automatización y centralizando los datos de las operaciones de seguridad, la información y la generación de informes en una única plataforma. Refuerza y amplía los equipos de respuesta con la priorización automatizada, el triaje, el análisis de datos y otras tareas de respuesta esenciales. A continuación, ve un paso más allá con la información en tiempo real, los playbooks detallados y la visibilidad completa de la seguridad de la red.
Obtén más información sobre cómo ServiceNow puede optimizar tu enfoque de respuesta a incidentes de seguridad y detén futuros ciberataques antes de que comiencen.