Los planes de respuesta a incidentes (IR, por sus siglas en inglés) están diseñados para probar la capacidad de su empresa de responder a un incidente de seguridad. La meta final es manejar la situación para limitar el daño al negocio, mientras reduce tiempo y costos.

Lamentablemente, la mayoría de planes de IR no cumplen con esta promesa. Las empresas que tienen uno -y según una encuesta reciente, una de tres organizaciones no lo tienen- lo tienen mal implementado y raramente involucra otras líneas de negocio además de los equipos de TI y de InfoSec. Muchos son rara vez probados y revisados, por lo que no cumplen su propósito cuando ocurre el incidente.

A continuación, nueve pasos para asegurar que configure o mejore un plan de IR que realmente funcione.

1. Haga frente a los problemas empresariales y asigne funciones

Así como se evidenció líneas más arriba, muy pocas firmas tienen un plan de respuesta a incidentes. Para aquellos que lo tienen, incluso los mejores planes pueden carecer de información esencial o no incluir a la gente correcta.

De hecho, la firma consultora McKinsey aconsejó que la documentación de respuesta a incidentes suele ser anticuada y genérica, y no es útil para guiar actividades específicas durante una crisis. Esto significa que necesita comenzar con lo básico, implementando un plan, esbozando la estructura correcta y distribuyendo los roles de los empleados.

Para empezar, McKinsey recomendó que temprano en el proceso de desarrollo, las empresas deben involucrar a las personas que posean y mantengan la documentación de IR. Esto ayudará a la transición del programa de una iniciativa especial de IR a las prácticas de negocio como siempre (BAU). Es importante también desarrollar otros componentes clave, tales como una taxonomía de incidentes (para ayudar a identificar y remediar ataques) y los marcos de clasificación de datos.

En términos críticos, es importante que estos planes realmente entiendan el negocio y describan los roles que determinados empleados cumplirán. Algunos aconsejan que tener un ejecutivo que asuma la responsabilidad de implementar el plan a través de las unidades y geografías de negocio es clave también.

“El plan de IR debe estar alineado con lo que es importante para el negocio, la cultura empresarial, cómo la respuesta sucede a los problemas actuales o incidentes, y cómo la respuesta necesita cambiar para adaptarse en el futuro”, señaló Sloan Menkes, director del negocio de ciberseguridad en PwC.

“Las funciones y responsabilidades claramente definidas son clave”, añadió Dane Warren, CISO de Intertek, en una entrevista conmigo el año pasado. “Es esencial asegurar que la gente esté capacitada para desempeñar con eficacia esos roles y responsabilidades”.

2. Identifique los departamentos relevantes de negocio e involúcrelos

Como ocurre con la mayor parte de problemas de seguridad, los planes débiles y no probados de IR, a menudo caen porque siguen siendo el trabajo de los departamentos de TI e InfoSec. Un plan de IR exitoso requiere colaboración entre empresas, porque responder a una violación o a un incidente de seguridad requiere el mismo nivel de comunicación y colaboración empresarial. Por ejemplo, un minorista que ha sido víctima de una violación de datos y ha perdido información de la tarjeta de crédito, podría tener que involucrar a Relaciones Públicas (para revelar el incidente), a desarrolladores web (encontrando y corrigiendo fallas del software), a operaciones (para examinar SLAs), a marketing y a soporte al cliente.

“La mejor manera de formular un buen plan de IR es atraer a los actores requeridos durante el desarrollo, para asegurar la máxima aceptación en toda la organización”, anotó Sean Mason, director de servicios de respuesta a incidentes en Cisco, quien dijo que los diagramas de RACI pueden ser útiles para dividir responsabilidades.

Entonces ¿quién debe estar involucrado? “Fuera de los típicos equipos de seguridad de la información y otras funciones de TI, una lista variada de áreas debería ser considerada como parte de un plan de IR”. añadió Mason. “La C-suite, los equipos de negocios críticos, DR/BCP, los equipos de inteligencia, los de recursos humanos, los de relaciones públicas, los jurídicos, los de aplicación de la ley, equipos fuera de IR y vendedores, según corresponda”.

“Las líneas de negocio tienen que estar involucradas en el proceso de planeamiento”, añadió Neal Pollard, director del negocio de seguridad cibernética y práctica de preparación de incidentes en PwC. “Por ejemplo, aunque el equipo de TI y el jurídico pueden estar alineados, los propietarios de las funciones empresariales pueden no estar de acuerdo con un curso de acción, o pueden ver otros impactos negativos que necesitan ser abordados. Tener una visión del nivel de negocio es esencial para desarrollar un plan de IR sólido y completo”.

3. Identificar KPIs para medir el evento

Es probable que un buen plan de IR sea subjetivo y no se pueda comprobar cuan útil es realmente, a menos que haya claros indicadores clave de desempeño (KPIs) en cuanto a lo que constituye o significa el éxito. Los expertos creen que los KPIs pueden ser tanto cuantitativos como cualitativos. Para el primero, esto puede incluir el tiempo de detección, del informe de un incidente (importante a la luz de la ventana de informe de 72 horas de GDPR, que entrará en vigor en mayo del 2018), del triaje y de la investigación. En el aspecto cualitativo, los KPIs podrían incluir el número de falsos positivos, la naturaleza del ataque (malware versus no malware) y la herramienta de seguridad que detectó el incidente.

“El personal de IR no le debe temer a las estadísticas o a los KPIs. Son simplemente la medición de la gestión. Lo importante es que entienda cómo funcionan para que se pueda comunicar directamente con los ejecutivos”, señaló Steve Armstrong, instructor de SANS. “Los negocios utilizan KPIs para medir los tiempos de desempeño y respuesta, por lo que elegir unos buenos permitirá al equipo obtener más recursos y un mejor apoyo de la organización.” 

4. Pruebe, pruebe y pruebe de nuevo

Sin duda, uno de los mayores problemas acá es que, si bien las empresas realizan ejercicios regulares de red team, no ponen a prueba el plan de IR lo suficiente; ejercicio que debería involucrar a todos e idealmente simular una violación de datos. De hecho, algunos dicen que las empresas a veces saben cómo debería ser esta prueba.

Ejecutar tales pruebas mantiene el plan de IR actualizado y, ayuda a identificar y arreglar los puntos débiles del negocio. Esto, en última instancia, afecta el lugar en el que los presupuestos de seguridad serán invertidos.

“Es importante entender que muchas empresas están creando su plan de IR, pero no lo están probando”, anotó Pollard. “Las pruebas pueden ser una pesadilla logística, ya que a menudo requieren todo un día, si no muchos. Los mayores obstáculos para probar un plan están relacionados con el momento, la coordinación y el compromiso por parte de los altos ejecutivos, incluyendo el CEO. Las pruebas también requieren que los ejecutivos debatan asuntos que no necesariamente tienen un impacto en cada uno todos los días y que, por lo tanto, pueden ser considerados como menos sensibles al tiempo”.

5. Revise el plan constantemente

Los planes de IR deben ser revisados con frecuencia, y especialmente a medida que la empresa crece. “Un plan de IR debería ser lo suficientemente robusto como para proporcionar una gran infraestructura dentro de la cual operar, pero flexible para manejar las diversas situaciones por las que pase. La flexibilidad se relaciona con qué tan fácil puede ser actualizado -y debería ser revisado y actualizado con bastante regularidad”, indica Mason.

6. Determine qué es un incidente

Relacionada muy de cerca con los KPIs está la definición de qué es un incidente. Haciendo esto, se dará cuenta cuándo debe actuar sobre algo y cuándo debe ser ignorado, mientras garantiza también que su equipo esté trabajando solo en los problemas más serios.

Por ejemplo, ¿es un intento de ataque o un incidente? ¿El atacante necesita ser exitoso para autorizar la respuesta? Una vez definido esto, las empresas deben realizar un análisis de la amenaza de incidentes, descubriendo y documentando las amenazas, los riesgos y las posibles fallas que afectan las medidas actuales de seguridad de su organización.

Una guía útil es la topología de incidentes del Instituto Nacional de Estándares y Tecnología (NIST), que define categorías de incidentes en términos generales, como acceso no autorizado, código malicioso, denegación de servicio y uso inapropiado.

7. Forme su equipo dirigido por un experimentado analista de IR

Los equipos de respuesta a incidentes analizan informes de violaciones de seguridad y amenazas para desarrollar la estrategia de respuesta a incidentes de la organización. Hay muchos tipos de equipos de respuesta a incidentes que pueden ser formados internamente, externamente o una mezcla de ambos.

Algunos sugieren que, si bien este proceso debe involucrar a varias partes interesadas, dentro y fuera de TI (incluyendo al investigador principal y al director de TI), aún se basa en gran medida en experimentados probadores de penetración y pistas de IR. “Por lo general, los equipos incluyen un rango de habilidades por parte de los individuos, siendo las más importantes host y network forensics“, señaló Armstrong. “Además, los buenos equipos normalmente incluyen expertos en análisis de memoria, análisis de malware y habilidades de conocimiento sobre amenazas.

“Sin embargo, no se olvide del pentest (examen de penetración) y de las buenas habilidades de búsqueda del equipo, para que tanto las capacidades de análisis de registro como las de ofensa puedan desempeñarse también. Para un director del equipo de IR, un analista experimentado de IR que pueda hacer todo esto y entienda la manera en la que los ejecutivos hablan y piensan es el unicornio que todos están buscando, y sí existe”, añadió.

8. Implemente las herramientas correctas

“Un buen plan de IR se centrará en la visibilidad y en la comprensión de la red, la detección del atacante, la alerta adecuada, la comunicación segura para el equipo y la cooperación con el resto de la empresa”, indica Armstrong. “Un buen conocimiento de las amenazas ayudará a visibilizar y comprender la actividad de los atacantes, y la buena comunicación permitirá al equipo de IR explicar los incidentes al resto de la empresa para que puedan planear cómo remediarlos”. 

9. Establezca una estrategia de comunicación

La comunicación es esencial en todo momento para la respuesta a incidentes, y es particularmente importante tener una estrategia de comunicación sobre cómo alertar a terceros y, si es apropiado, a los equipos internos. Externamente, los encargados de hacer cumplir la ley y potencialmente remediar los incidentes deberían ser notificados, mientras los empleados deben ser los primeros de la lista en cuanto a comunicación interna. Ellos deberían estar al tanto del plan de respuesta a incidentes (si es posible), tener acceso a él y recibir formación sobre el proceso para entender mejor su función.

-Doug Drinkwater, CSO(EE.UU.)