La respuesta a incidentes es un enfoque del que debemos hacer uso cuando nos encontramos bajo un ataque o un incidente de seguridad, el principal objetivo es poder manejar de la mejor forma la situación que se presenta, reduciendo el impacto que pudiera tener en la empresa.
Normalmente un Plan de respuesta a incidentes debe contar con los siguientes puntos:
➥ Preparación.
➥ Detección y análisis.
➥ Contención, erradicación y recuperación.
➥ Lecciones aprendidas.
En esta ocasión, nos enfocaremos en un plan para estar preparados en caso de recibir un ataque de Ransomware. Cabe mencionar que cada organización puede realizar su plan conforme a la actividad principal o los requerimientos de la misma, pudiendo existir muchas variaciones.
Preparación
Deberemos implementar todos los controles que nos ayuden a prevenir una infección de Ransomware, retrasarlo y actuar cuando ya suceda. Aquí hablamos de toda la estrategia de protección que se ha definido desde el plan maestro para la implementación de ciberseguridad en el negocio, responsable, políticas, procesos, procedimientos, tecnología, etc.
Roles y Responsabilidades
Debemos tener claridad sobre las personas que se encuentran involucradas en la seguridad y sus responsabilidades, así como funciones, incluyendo matrices de escalación, personal encargado de aplicar cambios, personal encargado de tomar decisiones, etc.
Capacitación al personal
Sabemos que más del 90% de los ataques exitosos requieren de interacción humana, por lo que una capacitación constante al personal de la empresa ayudará a disminuir las probabilidades.
Respaldo
En temas de Ransomware, el respaldo de la información se vuelve crucial para minimizar el impacto a la empresa, por lo que contar con una política de respaldo será de gran ayuda a la hora de enfrentarse con este escenario.
Protección de dispositivos e infraestructura
Contar con la protección en equipos y servidores (segregación de permisos, mínimo privilegio, antimalware, HIPS/HIDS,etc.) ayudará a prevenir un incidente. Cuidar lo que se transmite en la red es importante para poder detectar la descarga de un Ransomware, infección o el intento de propagación.
Detección y Análisis
Debemos de estar en constante actualización sobre los nuevos vectores de ataque que van surgiendo, normalmente los más comunes para el ransomware son: correo electrónico, vulnerabilidades, programas con ransomware ya incluido y dispositivos externos.
Para poder detectar un ataque de ransomware, es necesario mantener un monitoreo constante de los controles de seguridad que tenemos implantados, aunque cuando un equipo o servidor se llegue a infectar, lo más común es que nos demos cuenta cuando ya se esta cifrando.
Contención, erradicación y recuperación
En este punto debemos buscar mitigar los efectos que el ransomware pueda tener en nuestro entorno, haciendo uso de nuestros procesos, buscar muestras en el equipo, aislar el dispositivo de la red, desconectarlo de la red, etc. Lo que nos ayudará a evitar la propagación.
Es recomendable poner en marcha nuevamente la operación del servicio o equipo, utilizando los respaldos que tenemos para así disminuir el impacto, el método dependerá de lo establecido por la empresa.
Lecciones aprendidas
Una vez que la operación del negocio ha sido restablecida, se debe de realizar un análisis exhaustivo sobre lo sucedido, buscando detectar los puntos vulnerables que ocasionaron el éxito del ataque, y creando un plan de remediación para ellos, buscando que no vuelva a suceder de la misma forma, reforzando y madurando el sistema de seguridad.
Como ves, el punto crítico de un plan se encuentra en la preparación. Debemos cambiar la mentalidad ocasionada por la pregunta ¿Nuestra empresa esta protegida? a ¿Nuestra empresa esta preparada para un ataque?, lo que nos llevará a tener un panorama más amplio y otro enfoque en materia de ciberseguridad.
0 Comentarios
¿Qué te pareció esta lectura?.
EmojiNos interesa saber tu opinión. Deja un comentario.