Diez claves para gestionar los ciberincidentes
- Actualidad
El CCN-CERT del Centro Criptológico Nacional (CCN) acaba de publicar una infografía que detalla los diez pasos a seguir en en el proceso de gestión de incidentes de ciberseguridad, para lo que es fundamental disponer de herramientas de Gestión y Notificación de Incidentes que permitan reducir los tiempos de actuación.
Recomendados: El papel de la ciberinteligencia en la seguridad empresarial Webinar Identificación de ataques web Leer La hoja de ruta de DevOps en materia de seguridad Leer |
Estos son los pasos fundamentales, según el CCN, para una correcta gestión de incidentes de seguridad:
-- Disponer de herramientas, mecanismos y procedimientos de detección que alerten de comportamientos anómalos en los sistemas y las redes.
-- Identificar la amenaza, la peligrosidad potencial y prevenir el posible impacto.
-- Es fundamental conocer el grado de madurez de la organización para responder al inicidente, en función de la tipología y la peligrosidad, que el CCN define en la guía CCN-STIC 817.
-- Actuar con rapidez. Notificar el incidente a la autoridad competente a través del CSIRT de referencia para establecer una comunicación directa. En el caso del sector público, los organismos que sean víctimas de ciberincidentes deberán notificarlos al CCN-CERT.
-- Priorizar y ejecutar procedimientos y medidas para evitar la propagación del incidente.
-- Recopilar toda la información del incidente. Revisar los eventos de seguridad y determinar los activos internos que han sufrido el intento de ataque y, lo que es mas importante, priorizar en función de la peligrosidad y el contexto (triaje).
-- Contener y mitigar la amenazas, llevando a cabo labores de investigación, auditoría, bastionado, análisis forense e ingeniería inversa.
-- Documentar el incidente y las acciones llevadas a cabo en el momento de su detección.
-- Restauración de sistemas y servicios siguiendo un plan establecido. Se determinará técnicamente el riesgo de reconexión de un sistema indicando los procedimientos a seguir y las salvaguardas a implmentar para reducir el impacto, así como evitar que se den de nuevo las circunstancias que lo propiciaron.
-- Resolución y cierre del incidente. Determinar el impacto del ciberataque, y revisar y reforzar las políticas y medidas de seguridad necesarias.