¿Qué es la respuesta a incidentes?
La respuesta a incidentes (IR) es el esfuerzo por identificar rápidamente un ataque, minimizar sus efectos, contener los daños y remediar la causa para reducir el riesgo de futuros incidentes.
Definamos la respuesta a incidentes
Casi todas las empresas tienen, en algún nivel, un proceso de respuesta a incidentes. Sin embargo, para aquellas empresas que buscan establecer un proceso más formal, las preguntas pertinentes que uno debe hacerse son:
- ¿Cuáles son los pasos para activar a las partes responsables involucradas en la respuesta a un incidente en caso de que aparezca?
- ¿Cómo de exhaustivo y específico debe ser su plan de respuesta?
- ¿Cuenta con suficiente personal (y con el personal adecuado) para responder adecuadamente?
- ¿Cuáles son sus SLA aceptables para responder a un incidente y volver a las operaciones normales?
Lo más probable es que las respuestas a estas preguntas no sean óptimas, ya que la mayoría de las empresas se quedan cortas en un área o más, según un estudio del Ponemon Institute:
El 77% de las empresas no tiene un plan formal, aplicado de forma consistente
El 57% indica que se ha incrementado el tiempo de respuesta
El 77% dice tener dificultades para contratar y retener al personal de seguridad*
De media, se tarda 214 días en identificar un ataque malicioso o delictivo, y 77 días en contenerlo y recuperarlo. Está claro que se necesita una mejor gestión de la respuesta a incidentes para proteger completamente a las organizaciones del creciente y acelerado número de amenazas a las que se enfrentan cada día.
*Estudio de IBM: La respuesta a los incidentes de ciberseguridad sigue siendo un gran reto para las empresas
El ABC de la respuesta a incidentes
A. El equipo adecuado: para ofrecer la respuesta a incidentes más eficaz, los expertos del sector sugieren incluir los siguientes roles en su equipo, sin importar el tamaño de su empresa. Obviamente, el equipo técnico tomará la delantera, pero hay otras áreas funcionales de su empresa que deberían estar a bordo, especialmente si se produce un ataque grave. Una vez identificadas las personas que desempeñan estas funciones, edúquelas sobre cuál sería su responsabilidad en caso de un ataque grave y extenso que tenga ramificaciones generalizadas: Respuesta a incidentes, Análisis de seguridad, TI, Investigación de amenazas, Legal, Recursos humanos, Comunicaciones corporativas, Gestión de riesgos, Ejecutivo y Expertos forenses de seguridad externos.
B. El plan adecuado: un plan integral de respuesta a incidentes incluye, como mínimo, las siguientes tácticas y procesos:
- Preparar y preparar al equipo para hacer frente a cualquier tipo de amenaza
- Detectar e identificar el tipo y la gravedad de un incidente una vez que se ha producido
- Contener y limitar el daño
- Determinar su impacto y los riesgos asociados
- Encontrar y erradicar la causa raíz
- Mitigar y resolver el ataque
- Analizar y modificar el plan postataque para prevenir otros futuros
- La captura de datos sin filtrar proporciona a los equipos de respuesta información sobre el comportamiento de los endpoints, no solo sobre los patrones y comportamientos de ataque previamente descubiertos. Esta es la clave para acortar la investigación de un ataque de días a minutos, sobre todo teniendo en cuenta la creciente cantidad de métodos de ataque desconocidos que se aprovechan hoy en día.
- Los análisis de datos proporcionan visibilidad de toda la actividad de los endpoints, tanto la presente como la histórica. Con los datos adecuados, puede ver dónde comenzó el ataque e identificar el camino que siguió, todo lo cual ayudará a remediarlo más rápidamente.
- La inteligencia de amenazas externas ayuda a identificar rápidamente las amenazas que usted no ha visto todavía, pero que otras empresas sí. Una vez más, si sabe a qué se enfrenta, puede responder más rápidamente.
- Las capacidades de respuesta en vivo le ayudan a remediar los puntos finales remotos y a eliminar la reimagen innecesaria.
- Analizar, validar y priorizar las alertas para ayudar a impulsar las acciones correctas.
- Identificar las señales de alerta temprana y las tendencias y enviar proactivamente avisos para garantizar una respuesta segura.
- Descubra las causas raíz, con hojas de ruta que proporcionan un contexto adicional para agilizar las investigaciones y el análisis de las causas raíz.
La comunicación es clave cuando un ataque está en marcha, así que asegúrese de establecer un buen flujo de comunicación como parte de su plan de respuesta.
C. Las herramientas adecuadas – Con un número creciente de ataques desconocidos, las herramientas adecuadas pueden ser capaces de ahorrar a su empresa mucho tiempo y dinero – y le ayudará a proteger a sus clientes y la lealtad de su marca.
La información es un activo crítico para cualquier plan de respuesta a incidentes. Por ello, una solución de seguridad para endpoints basada en la nube suele proporcionarle las herramientas más completas para mitigar los ataques de la manera más rápida, incluyendo el acceso a datos clave a través de:
El tercer estudio anual sobre la organización ciberresistente
Pulso de la industria: ¿Es la externalización la respuesta a la mala respuesta a los incidentes?
Casi cualquier investigación sobre los retos de seguridad a los que se enfrentan las empresas incluye estadísticas sobre la dificultad de contratar y retener a personal de seguridad cualificado, como hizo el 77% de las personas en el citado estudio de Ponemon. Hay una escasez de casi dos millones de personas para puestos de seguridad críticos que se está acercando rápidamente a nivel mundial.
La falta del personal de seguridad adecuado puede afectar gravemente a cualquier respuesta a incidentes, hasta el punto de que las empresas están buscando externalizar funciones de seguridad como ésta. De hecho, Gartner cree que el gasto en servicios de externalización de seguridad alcanzará más de 18.000 millones de dólares en 2018, el segundo mayor segmento de gasto en seguridad después de la consultoría.
Dada la dificultad de contratar al personal adecuado, esto tiene sentido, porque un servicio gestionado puede cubrir rápidamente cualquier hueco que tenga en su equipo de seguridad. Puede ayudarle a priorizar las alertas, descubrir nuevas amenazas y acelerar las investigaciones. Estos servicios suelen contar con expertos en amenazas altamente cualificados que pueden vigilar constantemente el entorno de su empresa, identificando las amenazas emergentes y proporcionando acceso a servicios de seguridad críticos cuando su equipo necesita más ayuda.
*Gartner prevé que el gasto mundial en seguridad alcanzará los 96.000 millones de dólares en 2018, un 8 % más que en 2017
La respuesta: Las personas, el plan, las herramientas y el proveedor adecuados
Incluso si se cuenta con las personas, el plan y las herramientas adecuadas en la empresa, sigue existiendo la posibilidad de que algo se cuele, así que ¿por qué correr ese riesgo? Resulta útil trabajar con el proveedor adecuado que pueda ofrecerle una plataforma de seguridad de puntos finales basada en la nube, así como capacidades avanzadas de caza de amenazas.
Como se mencionó anteriormente, los expertos en caza de amenazas gestionada pueden vigilar su entorno y notificar a su equipo sobre las amenazas emergentes. Estos expertos pueden:
Un equipo de cazadores de amenazas también puede ofrecerle cobertura y triaje de amenazas en todo su despliegue de puntos finales, para que su equipo pueda centrarse en las alertas más críticas. Además, tendrá acceso a la inteligencia global sobre amenazas que le ayudará a estar un paso por delante de futuros ataques.
Temas relacionados
Inteligencia sobre amenazas
SiguienteGeneration Firewall