Un problema común en las organizaciones es que no saben cómo actuar ante un incidente de seguridad cuando se presenta, afectando sustantivamente a la empresa ya que pueden agravarse los daños generados por el atacante si no se actúa de forma correcta.
Una forma común de remediar un incidente es realizar un formateo del equipo o cambio en el servicio que se tiene bajo amenaza, en este caso, no se puede saber si esa actividad es la mejor para poder mitigar el ataque.
Con base en lo anterior, hablaremos de los 4 puntos que el NIST nos proporciona a través de su GuÃa para manejo de incidentes, la NIST SP 800-61.
1. Preparación.
Se refiere a los controles de seguridad aplicados, actualizados y la monitorización constante y activa. En este apartado incluye la creación del CSIRT o Equipo de respuesta a incidentes que será el actor principal en caso de que se consume un ataque.
2. Detección y análisis.
Los expertos y parte del CSIRT, aportan su conocimiento, experiencia y pensamiento para analizar toda la información proporcionada por las herramientas y los eventos del monitoreo, tratando de comprender lo que esta sucediendo con los activos.
3. Contención, Erradicación y Recuperación.
En este punto las personas adecuadas, en conjunto con las involucradas en la parte esencial del negocio, tomarán la decisión de lo que deberá de realizar cada persona para mitigar la amenaza. Estas decisiones son complejas ya que puede repercutir y provocar un daño adicional a la organización, al sacar un activo crÃtico de producción.
4. Actividad Post-Incidente.
Este punto hace referencia a la documentación y reconstrucción de los hechos o el evento generando un cronograma, lo que ayudará a comprender lo que originó el incidente, asà como a detectar alguna otra brecha de seguridad que pueda existir, cambiando o mejorando los procesos y/o procedimientos.
Si la organización requiere cumplir con alguna normativa, será necesario almacenar los logs de este incidente durante el tiempo establecido.
Estos puntos son básicos si se encuentra bajo ataque algún activo crÃtico de la organización ya que si no se actúa de forma correcta se puede afectar en mayor medida la operación de la empresa, provocando pérdidas que en muchas ocasiones son millonarias.
0 Comentarios
¿Qué te pareció esta lectura?.
EmojiNos interesa saber tu opinión. Deja un comentario.