¿Cómo construir un plan de respuestas a incidentes?

Las amenazas informáticas ya no son producto de hackers juveniles tratando de llamar la atención, sino más bien de organizaciones altamente estructuradas y, sobre todo, rentables.

Ya es, indudablemente, un problema a escala, sobre todo en soporte técnico. ¿Cómo deben responder las diferentes organizaciones?

Estamos en un momento en el que un ataque informático puede venir en cualquier momento y desde varios lados. La pregunta no tiene que ver con “si va a aparecer” sino con “cuándo lo hará". Hay que estar preparado y establecer planes y de manejo de la contingencia. Prevenir antes que lamentar, advierte el dicho popular.

Así mismo, hay que considerar que cualquier incidente informático puede transformarse en un problema capaz de alterar o impedir la continuidad del negocio. Un ataque de ransomware, por ejemplo, puede afectar los sistemas de la compañía, lo que lleva a que la organización no tenga acceso a áreas críticas del proceso de trabajo.

Aumentar la conciencia de seguridad

Organizar, administrar y capacitar a los empleados en un plan de respuesta a incidentes, no sólo le permitirá reaccionar apropiadamente ante cualquier dificultad, sino que también incentivará la conciencia de la seguridad dentro de la organización.

Existen normas ISO que describen las mejores prácticas para mantener segura la información de una empresa u organización: 27001, 22301, la nueva 31000. Pero de manera simple y general evaluemos cómo implementar un protocolo de respuesta a incidentes.

Los objetivos de un plan de protección de la información son los siguientes:

• Proteger la seguridad de la información de acuerdo a los requisitos del negocio y de las leyes y regulaciones correspondientes.

• Garantizar la confidencialidad: que sólo el personal autorizado acceda a la información.

• Permitir una continua disponibilidad: que la información pueda ser recuperada cuando se la necesite.

• Ofrecer integridad: la seguridad de que la información no ha sido alterada, dañada o borrada. 

Un incidente, entonces, es cualquier evento que pueda provocar interrupción o degradación de los servicios ofrecidos por el sistema, o bien afectar cualquiera de las variables que mencionamos arriba.

Implementar la propia gestión del riesgo

Si bien las organizaciones definen todos y cada uno de los procesos involucrados, estableciendo su propia gestión de riesgos, se pueden dar algunas indicaciones comunes:

1. Definir una guía de procedimientos que establezca clara y sistemáticamente los pasos necesarios en el orden adecuado y las herramientas a utilizar. Una buena preparación, un monitoreo constante, una implementación de circuitos y proceso de alerta minimiza el impacto y el tiempo de respuesta. Es conveniente realizar una auditoría de datos sensibles y pruebas periódicas de vulnerabilidad. Un help desk humano y humanizado, necesita construir un plan de respuestas a incidentes acorde.
2. Determinar el alcance de los equipos y sistemas afectados y el posible impacto dentro de la organización. Detectar comportamientos anómalos, zonas de riesgos y amenazas de seguridad antes de que el daño puede extenderse.
3. Una vez se ha producido la amenaza deberemos contar con un sistema de clasificación de incidentes basado en la información afectada para su correspondiente priorización. Para contener la amenaza se debe prever un sistema de análisis de comportamiento del software malicioso, creando espacios de aislamiento y estudio específicos. La clasificación también es fundamental para un correcto escalamiento de los inconvenientes. 
   
4. Identificación del ataque y del atacante, a fin de implementar los procedimientos de normalización y, eventualmente, acciones legales. También establecer los métodos de comprobación y seguimiento de la reparación del problema.
5. Documentación del incidente: descripción clara y precisa de todos los aspectos relacionados. Crear una check list si es necesario. Este informe debería incluir una lista de lecciones aprendidas del incidente, incluyendo un análisis de imprevistos ocurridos, lo que salió mal, y lo que puede ser mejorado. Del análisis generar métricas a demanda para anticipar problemas futuros y evaluar tendencias. 

En definitiva, se trata de aceptar los riesgos como un hecho y preparar una respuesta tan rápida y efectiva como podamos y así lograr mitigar los efectos de un incidente. ¿Su empresa cuenta con un soporte de áreas críticas?

En otras ediciones hablamos de base de conocimiento o knowledge-base: el secreto para tener clientes satisfechos, resumimos los 7 problemas más reportados a helpdesk y también hablamos de métricas en soporte técnico.  Abajo, te acercamos la grabación de la última webinar para profesionales de IT: