La respuesta a incidentes de seguridad es un enfoque estratégico para identificar, priorizar y contener un ciberataque, así como para gestionar la resolución y las consecuencias de tal ataque.
Los ciberataques son como bolas de nieve que se deslizan cuesta abajo: tienden a ser pequeñas al comienzo. Desafortunadamente, muy pocas empresas aplican los recursos o procesos adecuados para mitigar completamente estas amenazas antes de que se propaguen. Además, cuando se permite que los ciberataques pasen de incidentes menores a riesgos empresariales importantes, pueden tener consecuencias devastadoras. Las investigaciones muestran que las empresas tardan 128 días en promedio en detectar una infracción. Esto significa que transcurren cuatro meses durante los cuales un atacante puede robar datos, dañar tus sistemas y alterar tu capacidad para hacer negocios.
La respuesta a incidentes de seguridad (SIR) está diseñada para ayudar a las organizaciones a responder a este tipo de intrusiones en la red antes de que afecten a tu empresa. Estructurada para manejar muchos tipos de ciberamenazas e incidentes de seguridad, la SIR establece flujos de trabajo y procedimientos probados y escalables que los centros de operaciones de seguridad (SOC) y los equipos de respuesta a incidentes pueden usar para minimizar los impactos en la empresa y reducir los tiempos de recuperación.
La respuesta a incidentes de seguridad es una subcategoría de iniciativas de respuesta a incidentes más generales que también cubren problemas no relacionados con la seguridad. La SIR está diseñada específicamente para abordar ataques maliciosos contra los sistemas digitales de una empresa. Esto incluye, entre otras, las siguientes categorías de incidentes de seguridad:
Una infracción del sistema informático, también llamada filtración de datos o infracción de la seguridad de TI, ocurre cuando un actor de amenaza no autorizado obtiene acceso a los datos informáticos, las aplicaciones de software, las redes o los dispositivos de una empresa.
Los actores de amenazas, tanto internos como externos, que obtienen acceso a las redes de una organización pueden intentar realizar cambios en varias herramientas, aplicaciones, datos u otros sistemas confidenciales.
El hardware sin encriptar puede representar una amenaza grave si cae en manos no autorizadas. Si se pierden o roban dispositivos empresariales, las empresas deben disponer de planes para abordar el riesgo de seguridad.
A veces, el objetivo de un ciberataque no es robar datos, sino causar interrupciones. Un ataque de DoS invade la red objetivo con tráfico, con lo que sobrecarga su capacidad y fuerza un cierre.
Los ciberdelincuentes que obtienen acceso a los sistemas de una empresa pueden intentar tomar el control de los recursos o las herramientas de TI, lo que a menudo es la base de un ataque de ransomware.
A menudo, la forma más rápida de que un atacante obtenga acceso es secuestrando una cuenta de usuario autorizada. Las cuentas comprometidas pueden ser especialmente difíciles de detectar.
Al igual que la bola de nieve que crece a medida que avanza, los incidentes de seguridad no abordados y no contenidos casi siempre escalarán. Esto puede significar todo, desde la pérdida de credenciales de usuario, la vulneración de datos de la empresa y los clientes, y un tiempo de inactividad costoso y perjudicial para la reputación, hasta un colapso total del sistema. La respuesta a incidentes de seguridad empodera a los equipos de SOC con los recursos, las herramientas y los procesos correctos para localizar y priorizar esos incidentes de seguridad antes de que tengan la oportunidad de comenzar a rodar.
Mediante el establecimiento de prácticas recomendadas, flujos de trabajo automatizados y colaborativos y planes de mitigación de amenazas paso a paso que cubren cada fase de la respuesta a las amenazas, la SIR existe para detener las intrusiones lo más rápidamente posible y proporcionar a las empresas estrategias de respuesta probadas y escalables para recuperarse rápidamente después de que se haya contenido y eliminado la infracción.
Además de garantizar una recuperación rápida de posibles eventos de infracción de datos, la respuesta a incidentes de seguridad ayuda a las empresas a cumplir con los estándares de cumplimiento normativo, como los que exige la ley en sectores como la atención médica y los servicios financieros. Por último, la SIR protege la reputación de la marca que, de otro modo, podría sufrir daños permanentes como resultado de una infracción exitosa.
Aunque tu respuesta a incidentes de seguridad puede incluir tareas para todos los niveles de tu organización, como TI, riesgo, RR. HH. y asuntos legales, la mayor parte de la responsabilidad recaerá en tu equipo de respuesta a incidentes. Estos equipos suelen consistir en las siguientes funciones:
Un gestor de respuesta a incidentes toma la iniciativa en la respuesta a incidentes, supervisa las acciones, prioriza las amenazas y actúa como enlace entre el equipo de respuesta y el resto de la organización. El soporte de gestión es esencial para que los planes de respuesta a incidentes de seguridad sean efectivos, por lo que los gestores de respuesta a incidentes deben obtener la aceptación de los ejecutivos de C-suite antes de que se pueda implementar cualquier plan.
Los analistas de seguridad son el “personal activo” durante el incidente. Estos analistas deben estar capacitados para identificar incidentes reales de entre posibles falsos positivos; determinar la hora, la ubicación y los detalles del incidente; y localizar y conservar cualquier evidencia que el intruso pueda haber dejado atrás.
Finalmente, los investigadores de amenazas intentan definir la gravedad y el alcance de la infracción. Buscan en Internet información confidencial que puede haber sido extraída de los sistemas de la empresa. También ayudan a crear una base de datos de incidentes anteriores para mejorar la inteligencia sobre amenazas de la empresa.
Cada una de estas posiciones desempeña un rol clave en la respuesta y la recuperación ante un incidente de seguridad. Algunas empresas eligen subcontratar algunas de estas responsabilidades, pero tanto si creas tu equipo completamente con recursos internos como si lo contratas, tu equipo de respuesta a incidentes será fundamental para garantizar que tu organización siga correctamente tu plan de respuesta a incidentes de seguridad.
Para que la respuesta a incidentes de seguridad sea efectiva, debe estar totalmente preparada y lista para implementarse mucho antes de que ocurra el incidente de seguridad en cuestión. Un plan de respuesta a incidentes de seguridad (SIRP) es un conjunto formal y oficial de documentación que detalla claramente las acciones que deben tomarse en cada etapa de la respuesta a incidentes de seguridad de una empresa. Al mismo tiempo, el SIRP debe describir los roles y las responsabilidades de respuesta de seguridad en toda la organización y explicar de qué manera estos roles deben comunicarse e interactuar dentro de los protocolos de respuesta establecidos.
Debido a que el SIRP está diseñado para una implementación rápida durante las primeras horas más críticas de un ataque, debe ser claro y fácil de seguir, y no tener ambigüedades en cuanto a términos y lenguaje. Los SIRP suelen incluir o hacer referencia a una biblioteca de playbooks de respuestas a incidentes.
En su instancia más básica, un SIRP es un conjunto de instrucciones que los equipos de respuesta deben seguir y que les permite identificar amenazas, responder con eficacia y reducir el impacto del incidente de seguridad en general con velocidad y precisión.
Debido a que hay mucho en juego que depende de la rapidez con la que una empresa puede implementar su estrategia de respuesta, la mayoría de los SIRP siguen un formato establecido que consta de seis etapas clave:
La primera fase de la respuesta a incidentes consiste en preparar al personal de TI y de los SOC, así como a otros miembros de los equipos de respuesta, para manejar las amenazas a medida que surgen. Es probable que esta sea la etapa más importante de tu SIRP, y debes considerar la formación en respuesta de los empleados, obtener la financiación y aprobación adecuadas y establecer estándares de documentación. Muchas empresas optan por participar en simulacros para ayudar a todos los involucrados a familiarizarse con sus responsabilidades.
Debido a que una brecha puede originarse en muchas áreas diferentes, es esencial que los equipos de respuesta tengan acceso a procedimientos para identificar y validar posibles amenazas antes de escalarlas al estado de incidente de seguridad verificado. La etapa de identificación debe poder determinar cuándo ocurrió un evento, cómo se descubrió, qué áreas puede haber afectado, qué efecto puede estar teniendo en las operaciones actuales y si se conoce el punto de ingreso.
Cuando la amenaza ha sido completamente verificada, la siguiente fase es evitar que avance más en el sistema. La contención es un paso esencial y no debe omitirse a favor de pasar directamente a la erradicación; simplemente eliminar el malware puede arruinar tus posibilidades de recopilar evidencia que puedes usar para fortalecer tu red contra ataques similares en el futuro. Desconecta y coloca en cuarentena los sistemas afectados, y si es posible, implementa sistemas de copia de seguridad para evitar la pérdida de operaciones empresariales. Aplica parches a todos tus sistemas, revisa los protocolos de acceso remoto y haz que todas las cuentas administrativas cambien sus credenciales de inicio de sesión.
Una vez que la amenaza está contenida y se han recopilado todos los datos relevantes, ahora puedes comenzar a eliminar de forma segura cualquier malware del sistema. Es esencial que se elimine todo el malware. Es posible que un escaneo no exhaustivo que deje rastros del ataque siga permitiendo el acceso no autorizado a tus datos y dé lugar a que el malware se reinicie en el futuro.
Mitigar una amenaza es algo bueno; mejorar tus sistemas para evitar que los incidentes de seguridad afecten a tu empresa es mejor. Una vez que se haya tratado correctamente el incidente, habla con los miembros del equipo de respuesta y otros interesados para identificar y documentar lo que has aprendido de la experiencia. Estas lecciones se pueden aplicar de modo de preparar mejor tus sistemas para futuros incidentes y optimizar tanto la priorización como la respuesta.
A medida que las amenazas de seguridad siguen creciendo en frecuencia, complejidad y sofisticación, la respuesta a incidentes de seguridad ha pasado de ser un diferenciador competitivo a un estándar de seguridad esencial. Sin embargo, cuando cada segundo cuenta, los equipos de seguridad se dan cuenta de que simplemente no tienen el poder de investigar, verificar y responder exhaustivamente a cada posible incidente de seguridad a medida que se produce. Service Now ofrece la solución.
Security Incident Response de ServiceNow transforma el enfoque estándar de la investigación, la respuesta y la recuperación en seguridad de TI mediante la aplicación de capacidades de automatización avanzadas y la centralización de los datos, la información y los informes relacionados con las operaciones de seguridad en una sola plataforma. Empodera y escala a los equipos de respuesta con la automatización de las tareas de priorización, clasificación, análisis de datos y otras tareas de respuesta esenciales. Además, va aún más allá con conocimientos en tiempo real, playbooks detallados y visibilidad completa de la seguridad de la red.
Obtén más información sobre cómo ServiceNow puede optimizar tu enfoque de respuesta a incidentes de seguridad y detener futuros ciberataques antes de que comiencen.