Respuesta a incidentes

Respuesta a incidentes

Respuesta a incidentes

Antecedentes

Es un hecho que a pesar de las medidas que implantemos, siempre existe el riesgo de que ocurra un incidente de ciberseguridad. Por ello, debemos preparar un plan de acción que nos indique cómo actuar de la manera más eficaz posible en estos casos.

Existen muchos tipos de incidentes de ciberseguridad, algunos son más habituales que otros que podrían encajar en una de las siguientes tipologías:

  • incidentes no intencionados o involuntarios; 

  • daños físicos; 

  • incumplimiento o violación de requisitos y regulaciones legales; 

  • fallos en las configuraciones; 

  • denegación de servicio

  • acceso no autorizado, espionaje y robo de información; 

  • borrado o pérdida de información; 

  • infección por código malicioso. 

Para ejecutar correctamente el plan y evitar que el daño se extienda se deben detallar las acciones a realizar en cada momento, la lista de las personas involucradas y sus responsabilidades, los canales de comunicación oportunos, etc.

Tras un incidente, si hemos aplicado el plan, tendremos una valiosa información para conocer y valorar los riesgos existentes, y así evitar incidentes similares en el futuro.

En caso de que ocurran incidentes graves o desastres que paralicen nuestra actividad principal, aplicaremos el plan de contingencia y continuidad del negocio.

Objetivos

Asegurarnos de que todos los miembros de la organización conocen y aplican un procedimiento rápido y eficaz para actuar ante cualquier incidente en materia de seguridad de la información. Este procedimiento incluirá medidas para comunicar de forma correcta los incidentes a quien corresponda tanto dentro como fuera de la empresa. También incluirá los mecanismos para registrar los incidentes con sus pruebas y evidencias con objeto de estudiar su origen y evitar que ocurran en un futuro.

Puntos clave

Los puntos clave de esta política son:

  • Equipo responsable. Para garantizar una respuesta eficaz durante el tratamiento de incidentes de ciberseguridad, nombraremos un equipo responsable de su gestión. Tendremos que considerar no solo al personal técnico encargado de su resolución (interno o externo), sino también personal de la dirección que debiera estar informado en todo momento del estado del incidente.  

  • Mejora continua. Es conveniente analizar la utilidad de usar la información recogida en la gestión de los incidentes para medir y evaluar la posibilidad de modificar procedimientos o añadir nuevas mejoras o controles para limitar futuros daños. Podemos realizar acciones preventivas con el fin de entrenar a la plantilla ante la aparición de un posible incidente [5].  

  • Caducidad del plan de gestión. Determinaremos la periodicidad con la qué debe actualizar el plan y las medidas a adoptar. También puede ser necesaria una actualización del plan tras un cambio significativo en nuestros sistemas. 

  • Detección del incidente. Debemos concretar las situaciones que se considerarán incidentes. Desplegaremos herramientas con mecanismos de detección automáticos y estableceremos un sistema de alerta que nos informe detalladamente de lo sucedido en tiempo real. 

  • Evaluación del incidente. Una vez detectado el incidente debemos categorizarlo convenientemente y establecer la gravedad y la prioridad en su tratamiento. 

  • Notificación del incidente. Procuraremos establecer un punto de contacto único donde los empleados deben notificar los posibles incidentes o puntos débiles detectados. Asimismo, se debe indicar la información a recabar y las acciones inmediatas a seguir en el momento de la notificación. Conviene tener un listado de contactos para actuar con rapidez en caso de incidente. 

  • Resolución de incidentes. Desarrollaremos y documentaremos procedimientos de respuesta para cada uno de los tipos de incidentes definidos previamente, poniendo especial énfasis en aquellos incidentes más habituales y peligrosos. Se detallarán al menos los procedimientos para las siguientes acciones. 

    • recogida de evidencias tan pronto como sea posible tras la aparición del incidente, con cuidado de mantener la cadena de custodia, la integridad de las evidencias (cifrándolas si es necesario), soportes, etc.; 

    • estimación del tiempo de resolución; 

    • realización de un análisis forense en los supuestos requeridos; 

    • escalado conveniente del incidente en caso de no poder ser solventado;  

    • ejecución de acciones concretas para intentar reparar, mitigar o contener los daños causados por el incidente. 

  • Tratamiento del registro del incidente. Para disponer de toda la información acerca del incidente se registrarán convenientemente, almacenándose, entre otra, la información relativa a: 

    • fecha y hora de aparición del incidente; 

    • tipología y gravedad del mismo; 

    • recursos afectados; 

    • posibles orígenes; 

    • estado actual del incidente; 

    • acciones realizadas para solventarlo y quienes las ejecutaron; 

    • fecha y hora de resolución y cierre del incidente. 

  • Cumplimiento del RGPD: El RGPD obliga a notificar las violaciones de datos de carácter personal que podamos sufrir en la empresa a la autoridad de protección de datos competente y a las personas afectadas, salvo que sea improbable que suponga un riesgo para los derechos y libertades de los afectados. 

 

¡¡¡ NO TE LA JUEGUES !!!

La máxima seguridad es tu comprensión de la realidad

Suscríbase

¡No te pierdas nuestras futuras actualizaciones! ¡Suscríbase hoy!

©2024 DEFENSA DIGITAL.Todos los derechos reservados.