Cuando se trata de responder a un ciberincidente, cada segundo cuenta. Desarrollar un plan integral de respuesta a incidentes antes de que ocurra un incidente garantiza que estará preparado para tomar el control de la situación, responder adecuadamente y tomar medidas rápidas para limitar el impacto del ataque.

En esta publicación de blog, exploraremos las cinco cosas principales en las que debe pensar al desarrollar un plan de respuesta a incidentes.

Paso 1: Comprender al cliente

No existe una respuesta única para todos cuando se trata de ciberseguridad. Hay docenas de ingredientes que intervienen en la creación de una estrategia de seguridad personalizada para sus clientes (preferencias de seguridad, prioridades de datos, presupuesto, infraestructura de IT, requisitos de cumplimiento, etc.) y es una historia similar cuando se trata de crear una respuesta a incidentes. plan.

Durante esta fase de preparación, tómese el tiempo para trazar el entorno de IT del cliente e identificar los activos más importantes. Piense en ello como una evaluación de riesgos. ¿Qué sistemas, servicios y aplicaciones son más críticos para restaurar en caso de un incidente? ¿Qué repositorios de datos son más importantes, tanto para el cliente como para un posible atacante? ¿Cuál es el nivel o riesgo aceptado dadas las limitaciones tecnológicas y/o presupuestarias?

Sea objetivo en su evaluación y anime a su cliente a ser honesto y abierto sobre las posibles vulnerabilidades que puedan existir. Obtener una mejor comprensión de los sistemas de IT de su cliente y sus activos de misión crítica es crucial para hacer el uso más efectivo de sus recursos de respuesta.

Paso 2: Forma tu equipo

Después de realizar una evaluación de riesgos del cliente, es hora de definir su equipo, es decir, el grupo de personas que será responsable de responder a un incidente y ejecutar el plan de respuesta. Si bien algunos MSP pueden enviar un equipo de respuesta utilizando solo recursos internos, la mayoría de los MSP probablemente necesitarán contratar los servicios de especialistas externos para llenar los vacíos.

Ser capaz de coordinar al personal de respuesta es crítico. Como MSP, sus responsabilidades durante un incidente pueden girar principalmente en torno a la organización de la respuesta en lugar de ejecutar la respuesta usted mismo. También actuará como enlace entre su cliente y los especialistas que componen su equipo de respuesta, gestionando los aspectos técnicos de la respuesta y comunicando claramente el progreso y las opciones de respuesta al cliente.

Paso 3: Definir los procedimientos de respuesta

Una vez que haya reunido a su equipo, deberá definir sus procedimientos de respuesta. Estas son las acciones paso a paso que deben tomarse en caso de un incidente para remediar el problema y restaurar los sistemas de su cliente a su funcionamiento normal. También deberá definir plazos, incluidos los tiempos de respuesta y resolución.

Dado que las organizaciones pueden generar cientos o incluso miles de alertas de seguridad cada día, los MSP deben aspirar a automatizar las tareas de respuesta a incidentes siempre que sea posible (las herramientas y los procedimientos de respuesta automática también deben detallarse en el plan de respuesta a incidentes).

Sin embargo, si bien las herramientas automatizadas pueden ayudar a aliviar las tareas repetitivas hasta cierto punto, en ocasiones será necesaria la intervención humana manual para investigar alertas y analizar datos generados por computadora. Como tal, un plan de respuesta a incidentes debe especificar qué miembros del equipo de respuesta serán notificados, cuándo serán contactados en la cadena de respuesta y los canales de comunicación que se utilizarán con las partes interesadas.

Los procedimientos de respuesta siempre deben adaptarse a las necesidades del cliente individual, pero pueden incluir los siguientes pasos:

• Notifique a los miembros apropiados de su equipo de respuesta y a las partes interesadas del cliente.

• Evaluar la situación.

• Recopilar la mayor cantidad de información posible.

• Determinar el alcance del incidente.

• Aislar y evaluar los sistemas afectados.

• Cree copias de seguridad de los sistemas afectados.

• Conserve los registros y los detalles de la infracción para su posterior análisis.

• Remediar el incidente.

• Restaure los sistemas afectados y controle la estabilidad.

• Abordar la vulnerabilidad que permitió que ocurriera el incidente.

• Asistir al cliente con los aspectos técnicos de las declaraciones públicas o notificaciones de violación de datos, que pueden ser requeridos legalmente.

Paso 4: Recuerda protegerte

Es importante recordar que un plan de respuesta a incidentes no debe limitarse a ayudar a sus clientes, sino que también debe incluir los pasos que debe seguir para proteger su propio negocio. Dependiendo de la naturaleza del incidente, puede haber margen para la responsabilidad legal y/o el potencial de daño a la reputación, particularmente porque las empresas que un MSP es responsable de proteger a menudo son muchas veces más grandes que el propio MSP. Como tal, su plan de respuesta a incidentes debe incluir elementos como:

• Los datos de contacto de su proveedor de seguros.

• Los datos de contacto de su equipo legal.

• Los datos de contacto de las fuerzas del orden.

• Cómo comunicarse con sus clientes (por ejemplo, a quién contactar, el método de contacto preferido, plazos, etc.).

Paso 5: Prueba, prueba, prueba

Escribir un plan de respuesta a incidentes es una cosa: ejecutar el plan en el calor del momento es un juego de pelota completamente diferente.

Entonces, después de desarrollar su plan de respuesta a incidentes, es hora de ponerlo a prueba. Elija un evento cibernético, de forma selectiva o aleatoria, y siga sus procesos exactamente como están establecidos en el plan de respuesta. Los ejercicios de simulación como este son útiles para obtener una mejor comprensión de la capacidad de su equipo para remediar un incidente bajo presión y pueden revelar fallas potenciales en la cadena de respuesta. Intente probar, revisar y actualizar su plan de incidentes de manera regular y al menos una vez al año. .

Se deben realizar autopsias integrales después de responder a las amenazas en vivo para identificar áreas de mejora. Cualquier información recopilada durante el incidente y la autopsia debe aplicarse al plan de respuesta al incidente.

Paso 6: Mantenga el plan actualizado

El panorama de amenazas siempre está cambiando y las necesidades de sus clientes evolucionan continuamente. Teniendo esto en cuenta, es importante tener en cuenta que un plan de respuesta a incidentes no debe tratarse como un documento estático y debe actualizarse con frecuencia para reflejar los cambios recientes que pueden afectar sus procesos de respuesta.

Por ejemplo, es posible que deba actualizar la información de contacto que figura en el plan de respuesta si una parte interesada deja la empresa, o modificar sus procesos si incorpora una nueva herramienta forense en sus procedimientos de respuesta.

La información desactualizada o incorrecta puede dificultar en gran medida su capacidad para responder y contener amenazas de manera efectiva, por lo tanto, revise sus planes de respuesta de manera continua para minimizar el riesgo de discrepancias.

Conclusión

Cuando se trata de ciberseguridad, siempre es una buena práctica prepararse para lo peor. Si bien se debe hacer todo lo posible para mantener seguro el sistema de un cliente, la realidad es que la seguridad absoluta es imposible. Cuando se produce una infracción, un plan completo de respuesta a incidentes es crucial para garantizar que usted y sus clientes estén bien equipados para hacer frente a la situación, neutralizar la amenaza y hacer que los sistemas afectados vuelvan a funcionar lo más rápido posible.