Diez claves para gestionar los ciberincidentes

  • Actualidad

El CCN-CERT del Centro Criptológico Nacional (CCN) acaba de publicar una infografía que detalla los diez pasos a seguir en en el proceso de gestión de incidentes de ciberseguridad, para lo que es fundamental disponer de herramientas de Gestión y Notificación de Incidentes que permitan reducir los tiempos de actuación.

Recomendados: 

El papel de la ciberinteligencia en la seguridad empresarial Webinar

Identificación de ataques web Leer

La hoja de ruta de DevOps en materia de seguridad Leer

Estos son los pasos fundamentales, según el CCN, para una correcta gestión de incidentes de seguridad:

-- Disponer de herramientas, mecanismos y procedimientos de detección que alerten de comportamientos anómalos en los sistemas y las redes.

-- Identificar la amenaza, la peligrosidad potencial y prevenir el posible impacto.

-- Es fundamental conocer el grado de madurez de la organización para responder al inicidente, en función de la tipología y la peligrosidad, que el CCN define en la guía CCN-STIC 817. 

-- Actuar con rapidez. Notificar el incidente a la autoridad competente a través del CSIRT de referencia para establecer una comunicación directa. En el caso del sector público, los organismos que sean víctimas de ciberincidentes deberán notificarlos al CCN-CERT.

-- Priorizar y ejecutar procedimientos y medidas para evitar la propagación del incidente.

-- Recopilar toda la información del incidente. Revisar los eventos de seguridad y determinar los activos internos que han sufrido el intento de ataque y, lo que es mas importante, priorizar en función de la peligrosidad y el contexto (triaje).

-- Contener y mitigar la amenazas, llevando a cabo labores de investigación, auditoría, bastionado, análisis forense e ingeniería inversa.

-- Documentar el incidente y las acciones llevadas a cabo en el momento de su detección.

-- Restauración de sistemas y servicios siguiendo un plan establecido. Se determinará técnicamente el riesgo de reconexión de un sistema indicando los procedimientos a seguir y las salvaguardas a implmentar para reducir el impacto, así como evitar que se den de nuevo las circunstancias que lo propiciaron.

-- Resolución y cierre del incidente. Determinar el impacto del ciberataque, y revisar y reforzar las políticas y medidas de seguridad necesarias.