Etapas en una Respuesta a Incidentes

En momentos de crisis como el que estamos pasando con la pandemia debemos estar preparados  para enfrentar un incidente informático. Para lograr este objetivo es bueno contar con  un plan que nos guíe a enfrentar esta situación.

Trustdimension recomienda seguir  los siguientes pasos:

1. Preparación

La preparación es clave e implica identificar el inicio de un incidente, cómo recuperarse, cómo hacer que todo vuelva a la normalidad y crear políticas de seguridad establecidas.

2. Identificación:

La siguiente etapa de respuesta al incidente es identificar el incidente real.

Hay seis niveles de clasificación cuando se trata de incidentes.

  • Nivel 1 - Acceso no autorizado
  • Nivel 2 - Denegación de servicios
  • Nivel 3 - Código malicioso
  • Nivel 4 - Uso inapropiado
  • Nivel 5 - Escaneos / Sondas / Acceso Intentado
  • Nivel 6 - Incidente de investigación

3. Contención.Una vez que conocemos que causa el incidente, lo siguiente es contener el problema. Debemos limitar el alcance y el daño que se pueda causar a la organización. Para esto podemos:

  • Desconectar el sistema de la red y aislarlo.
  • Cerrar todo de inmediato.
  • Continuar permitiendo que se ejecute y observar los movimientos.

4. Investigación Este es el primer paso para determinar qué sucedió realmente a su sistema, computadora o red. Debe realizarse una revisión sistemática de todos los sistemas:

  • Hacer copias a nivel de bits del disco duro.
  • Almacenamiento externo
  • Memoria en tiempo real
  • Registros de dispositivos de red
  • Registros del sistema
  • Registros de aplicación

5. Erradicación. La erradicación es el proceso para recuperar el estado inicial del sistema o red. Hay dos aspectos importantes de la erradicación que debe tener en cuenta.

  1. La limpieza que generalmente consiste en ejecutar su software antivirus, desinstalar el software infectado, reconstruir el sistema operativo o reemplazar todo el disco duro y reconstruir la red.
  2. La notificación a todo el personal que administra los sistemas.

6. Recuperación Esto es cuando su empresa u organización vuelve a la normalidad.

Hay dos pasos para la recuperación.
1. Restauración del servicio, que se basa en la implementación de planes de contingencia corporativos.
2. Sistema y / o validación de red, pruebas y certificación del sistema como operativo

Cualquier componente comprometido debe volver a certificarse como operativo y seguro.

7. Seguimiento Una vez que todo ha vuelto a la normalidad, hay algunas preguntas de seguimiento que deben responderse para garantizar que el proceso sea suficiente y efectivo.

¿Hubo suficiente preparación? ¿La detección se produjo de manera oportuna? ¿Se realizaron las comunicaciones con claridad? ¿Cuál fue el costo del incidente? ¿Tenía un plan de continuidad comercial en su lugar? ¿Cómo podemos evitar que vuelva a suceder?

¿Estas preparado para enfrentar un incidente?

En Trustdimension te podemos apoyar en cada una de estas etapas con tecnología de punta y la experiencia que nos distingue.

Autor.

Carlos Castelluccio
Especialista de ciberseguridad.

Carlos.castelluccio@trustdimension.com