Diez claves para gestionar los ciberincidentes

Recomendados:  El papel de la ciberinteligencia en la seguridad empresarial Webinar Identificación de ataques web Leer La hoja de ruta de DevOps en materia de seguridad Leer

Estos son los pasos fundamentales, según el CCN, para una correcta gestión de incidentes de seguridad:

-- Disponer de herramientas, mecanismos y procedimientos de detección que alerten de comportamientos anómalos en los sistemas y las redes.

-- Identificar la amenaza, la peligrosidad potencial y prevenir el posible impacto.

-- Es fundamental conocer el grado de madurez de la organización para responder al inicidente, en función de la tipología y la peligrosidad, que el CCN define en la guía CCN-STIC 817. 

-- Actuar con rapidez. Notificar el incidente a la autoridad competente a través del CSIRT de referencia para establecer una comunicación directa. En el caso del sector público, los organismos que sean víctimas de ciberincidentes deberán notificarlos al CCN-CERT.

-- Priorizar y ejecutar procedimientos y medidas para evitar la propagación del incidente.

-- Recopilar toda la información del incidente. Revisar los eventos de seguridad y determinar los activos internos que han sufrido el intento de ataque y, lo que es mas importante, priorizar en función de la peligrosidad y el contexto (triaje).

-- Contener y mitigar la amenazas, llevando a cabo labores de investigación, auditoría, bastionado, análisis forense e ingeniería inversa.

-- Documentar el incidente y las acciones llevadas a cabo en el momento de su detección.

-- Restauración de sistemas y servicios siguiendo un plan establecido. Se determinará técnicamente el riesgo de reconexión de un sistema indicando los procedimientos a seguir y las salvaguardas a implmentar para reducir el impacto, así como evitar que se den de nuevo las circunstancias que lo propiciaron.

-- Resolución y cierre del incidente. Determinar el impacto del ciberataque, y revisar y reforzar las políticas y medidas de seguridad necesarias.