Como la seguridad al cien por cien no existe y solo es cuestión de tiempo que se produzca algún incidente de seguridad, Sophos propone a las empresas contar con un plan de respuesta a accidentes, ofreciendo una serie de consejos para su elaboración.
Son pocas las organizaciones que disponen de un plan de respuesta a incidentes de seguridad. De acuerdo con James Lyne, analista de Sophos, “cuando se produce un incidente, es más común observar a la gente corriendo frenética e improvisando planes de acción, una falta de preparación que puede conducir al desastre, llevando a tomar malas decisiones bajo presión”. Para evitarlo, la compañía da una serie de consejos para desarrollar e implantar un plan de respuesta a incidentes.
El primer consejo, y el más obvio, es elaborar un plan de respuesta a incidentes, pero sorprende el gran número de organizaciones que ni siquiera se lo han planteado. Este plan no tiene que tener una gran extensión, pero tiene que ponerse por escrito y distribuirse convenientemente para que todos sepan cómo actuar llegado el momento. Sophos aconseja asimismo predefinir el equipo de respuesta a incidentes y asegurarse de que se aborda desde múltiples disciplinas, ya que, para Lyne, “un buen equipo de respuesta a incidentes no sólo debe consistir en los responsables de TI o de seguridad, aunque, sin duda, tienen que ser un núcleo fuerte, sino que también debe incluir responsables de relaciones públicas, recursos humanos y equipo legal”. Hay que asegurarse de que cada miembro del equipo es informado sobre su participación y expectativas.
También es importante definir el enfoque del plan: ver y esperar a ver cómo actúa el atacante, o contener el ataque y recuperar los sistemas, algo que se necesita hacer por adelantado y que requiere de una buena preparación, apoyo ejecutivo y un equipo de expertos para manejar el riesgo. “La mayoría de las organizaciones se centran en contener el daño y recuperar los sistemas”, comenta el analista de Sophos.
Otro consejo consiste en predistribuir tarjetas de llamadas, ya que otro error muy común es depender de la infraestructura de comunicaciones normal en caso de incidente. Es importante definir asimismo cómo se van a capturar los datos a restaurar, así como las pruebas del incidente una vez producido, algo que suele fallar a menudo debido a la tendencia a precipitarse. “¿Pondrá a funcionar Volatility para capturar memoria? ¿Apagará la máquina y tomará una imagen del disco para capturar tanto como pueda antes de que el ataque lo elimine? Decida qué ruta a seguir en cada caso y prepare un conjunto de herramientas adecuado”, aconseja James Lyne.
Es necesario, asimismo, asegurarse de que la respuesta a incidentes enlaza con la política de uso aceptable de la organización y el programa de concienciación sobre seguridad. En particular, los administradores del sistema y los propietarios de aplicaciones y de datos deben saber cómo contactar con los responsables de la organización si detectan algo inusual, para así poder actuar rápidamente. También hay que saber cómo informar de un incidente ante la ley, sobre todo en los casos en que el servidor web haya sido hackeado para robar datos confidenciales de clientes.
Finalmente, como en todo, la práctica lleva a la perfección, por lo que es recomendable realizar simulacros.
