Los Elementos Claves del Manejo y Respuesta a Incidentes
El mejor plan de manejo de incidentes es el que puede formalizarse, esto significa que el plan ha sido revisado y aprobado por la autoridad competente, compartido en los medios de comunicación, distribuido y puesto a disposición del personal de la empresa, y está sujeto a cambios cuando sea necesario. El plan debe tener más de una versión y la versión básica debe estar disponible para todo el personal para que conozcan los pasos que se espera tomen en caso de un incidente de seguridad. El plan principal debe compartirse entre los gerentes y las personas que forman el equipo de manejo y respuesta a incidentes.
El 13 ° estudio anual sobre el costo de una violación de datos realizado por IBM mostró que el impacto de esto en una organización cuesta aproximadamente $ 3.86 millones, lo que podría ser mayor en el caso de una violación más grande, por eso el éxito de un plan de respuesta a incidentes resultaría en una menor carga financiera para las organizaciones. En otra investigación realizada por IBM, sobre respuesta a incidentes y servicios de inteligencia, se encontró que una respuesta efectiva a incidentes puede reducir el costo de una infracción en $ 14 por registro comprometido en comparación con el ingreso promedio per cápita de $ 148.
Un plan exitoso de manejo y respuesta a incidentes deberá sobresalir en cinco áreas:
1. Visibilidad
Tener una visión clara de los productos de seguridad implementados en una organización crea una base sólida para cualquier sistema de gestión de respuesta a incidentes. La agregación de fuentes de datos se requiere de productos de código abierto o de la implementación interna. Al implementar el sistema de respuesta a incidentes, asegúrese de alinearlo con los protocolos y productos de seguridad existentes ya que pocos productos de seguridad admiten el plan de respuesta a incidentes de forma predeterminada. Sin embargo, el plan debe ser lo suficientemente flexible como para incluir integraciones bidireccionales con los productos de seguridad que no son compatibles con el plan de respuesta a incidentes de forma predeterminada.
Las integraciones bidireccionales son vitales para iniciar la orquestación y la automatización completa, pero las integraciones bidireccionales completas no son necesarias para todas las tecnologías, especialmente con tecnologías simples de alerta y detección ya que tales tecnologías simples pueden ser suficientes con la integración de reenvío de eventos unidireccional. Además, asegúrese que los métodos de reenvío de eventos y transferencia de datos, como conexiones de base de datos, API, syslog, correos electrónicos y formularios en línea sean compatibles.
2. Gestión de incidencias
Un buen sistema de gestión de respuesta a incidentes debe poder administrar todo el ciclo de vida de respuesta a incidentes y permitir la automatización y organización de los productos de seguridad que utiliza la organización. El sistema de respuesta a incidentes debe ser capaz de gestionar lo básico, como el seguimiento de los casos, el registro de las acciones durante el incidente y la presentación de informes sobre indicadores clave de rendimiento.
Un sistema avanzado de gestión de respuesta a incidentes podría:
- Realizar seguimiento objetivo
- Realice un seguimiento del plan de acción, incluida la asignación de la tarea, el seguimiento del tiempo total empleado y la actualización del estado de cada tarea
- Rastrea todos los activos físicos y virtuales que están involucrados en el incidente
- Realizar seguimiento de fase
- Rastrear evidencias e indicaciones, también correlacionándolas y compartiéndolas.
- Gestión de documentos e informes.
- Mantener la gestión de evidencias y custodia.
- Realizar tiempo y seguimiento monetario.
3. Procesar flujos de trabajo
Como se ve, los elementos cruciales de la respuesta a incidentes son la organización y automatización de los productos de seguridad y el proceso de trabajo ya que esto reduciría las tareas repetitivas y permitiría a los analistas improvisar su eficiencia.
El proceso de flujo de trabajo se puede organizar utilizando cualquiera de los dos métodos, a saber, flujos de trabajo de flujo controlado o libros de jugadas (runbooks) de estilo lineal. Ambos métodos tienen sus propias ventajas y desventajas, y lo usado a implementar asegura su aplicación con respecto al sistema de respuesta a incidentes. El proceso de los flujos de trabajo debe ser compatible con ambas integraciones: incorporadas o personalizadas y las tareas que se definen manualmente para un analista. La respuesta a incidentes vive y muere mediante un proceso repetible y flujos de trabajo que se capturan en libros de jugadas o runbooks que a menudo se auditan. Cada paso de un incidente desde el tipo hasta la acción del investigador se documenta en los libros, por lo que son de importancia crítica.
4. Co-relación con inteligencia de amenazas
El elemento clave de un buen sistema de respuesta a incidentes es su capacidad para incorporar las alimentaciones de inteligencia de amenazas. Cuando un sistema de respuesta a incidentes es capaz de correlacionar con la inteligencia de amenazas, puede ser efectiva mientras descubren vulnerabilidades potenciales, los patrones de ataque, y otros riesgos que la organización está expuesto. Tener una correlación automatizada con inteligencia de amenazas ayuda a identificar incidentes en curso que son similares a incidentes anteriores.
5. Colaboración e intercambio de información.
La respuesta a incidentes no es un espectáculo de un solo hombre e implica la participación de diferentes equipos y sus miembros individualmente. Para establecer una colaboración perfecta y un intercambio de información fluida entre todos los equipos y partes interesadas, el sistema de respuesta a incidentes debe integrar un entorno altamente efectivo. El personal autorizado, como la administración y las partes interesadas, debe actualizarse periódicamente con el estado de la implementación de la respuesta al incidente, los detalles del incidente y la asignación de tareas a los miembros del equipo. El mecanismo de comunicación debe ser canalizado para acceder a actualizaciones sobre las actividades de respuesta a incidentes, por lo que el intercambio de información también debe canalizarse a entidades externas relacionadas, como las agencias de aplicación de la ley. Un intercambio de información de canal efectiva contribuiría mucho en la lucha contra el delito cibernético.
El establecimiento de estos cinco elementos en su plan de manejo de incidentes garantiza que su organización esté equipada con un programa que puede detectar, analizar, contener y mitigar una brecha antes de que se convierta en un desastre masivo.
¿Desea ser un administrador de incidentes y trabajar en un plan de contención para reducir el costo de los daños y mitigar más incidentes? Únase al programa de certificación más reconocido en la industria, Incident Handler de EC Council (E | CIH). La última versión del programa E | CIH se ha desarrollado en colaboración con profesionales de la ciberseguridad y el manejo de incidentes en todo el mundo, este un programa guiado por el método que cubre los conceptos desde la preparación y planificación de la respuesta al manejo de incidentes hasta la recuperación de los activos de la organización después de que ocurra un incidente. Obtenga más información sobre el E | CIH en https://etic-solutions.net/etic/cursos/ec-council/ecih
Fuente: EC-Council