Cuestiones básicas para responder ante un incidente de seguridad
- Actualidad
El blog Protege tu empresa, de Incibe, dedica a este tema uno de sus últimos posts para concienciar a las empresas de que, independientemente de su tamaño y actividad, deben estar preparadas para responder ante un incidente de seguridad. Resumimos cuáles son esos primeros pasos que hay que conocer.
|
También puedes leer... Cómo evaluar las opciones de SD-WAN Gestión de cuentas con privilegios para Dummies |
El post recomienda una serie de pasos a seguir en caso de sospecha de un incidente, que serían, además, acciones que habría que poner en marcha cada cierto tiempo. En este grupo se incluyen algunas como revisar los sistemas de la organización encargados de identificar accesos no autorizados como los IDS, cortafuegos, logs, etc.; contactar con el departamento o personal encargado de administrar la red y los sistemas de la organización para comprobar si se están llevando a cabo tareas de mantenimiento; identificar a grandes rasgos el tipo de incidente para calibrar gravedad del mismo, y registrar y documentar toda la información recogida, ya que será de gran ayuda en futuras fases.
Ésta es la forma de saber si se está ante un ataque o un falso positivo y, en caso de duda, “es preferible actuar como si se tratase de un incidente”.
“La comunicación será una parte fundamental del proceso de respuesta. Es importante que únicamente tengan conocimiento de lo sucedido aquellas personas o departamentos que puedan ser de ayuda en la solución del mismo”, dice el texto, que justifica esta recomendación por mantener la reputación de la empresa.
Lo que sí habrá que hacer es nombrar un responsable de coordinar la respuestas, que tendrá entre sus funciones realizar las comunicaciones oportunas con el personal externo como proveedores, soporte técnico, Fuerzas y Cuerpos de Seguridad del Estado, Agencia Española de Protección de Datos en caso de que se hayan visto comprometidos datos personales o INCIBE-CERT a través de su servicio de respuesta a incidentes.
Lógicamente habrá que actuar rápido y ser eficaces para reducir el efecto, y la actuación deberá ser en función de las prioridades, que deben ser la seguridad de las personas, la información valiosa y sensible, y la operatividad de los equipos y sistemas.
Contener el daño
En esta parte se deberán minimizar los daños, para lo que habrá que intentar conocer el impacto de la desconexión de equipos en el caso de que sea necesario, tomar medidas para neutralizar la amenaza, y clonar los discos de los equipos afectados o cambiarlos por unos nuevos, ya que “estas pruebas serán de gran utilidad para determinar que ha hecho el atacante en la red de la empresa. También hay que cambiar las credenciales de acceso de todos los usuarios”, concluye el post.
