¿Qué es la respuesta a incidentes?
La respuesta a incidentes consiste en prepararse ante una brecha de datos, detectarla, erradicarla y recuperarse de ella.
¿Qué es un plan de respuesta a incidentes?
Un plan de respuesta a incidentes describe los procedimientos, pasos y responsabilidades de la política de respuesta a incidentes de una empresa.
Normalmente, recoge la siguiente información:
- Por qué ayuda la respuesta a incidentes a la empresa cumplir sus objetivos principales
- Qué enfoque se ha adoptado para elaborarla
- En qué consiste cada una de sus fases
- Cuáles son los roles y las responsabilidades necesarios
- Mediante qué canales se comunica el equipo de respuesta a incidentes con el resto de la empresa
- Cómo se evalúa su efectividad
Incluso cuando el incidente de ciberseguridad ya está solucionado, el plan de respuesta a incidentes sigue siendo fundamental. Proporciona documentación para auditorías, asistencia en litigios, y datos históricos que sirven para entrenar la evaluación de riesgos y, en definitiva, mejorar su propio rendimiento.
Herramienta gratuita de seguimiento de respuesta a incidentes
Descarga el rastreador de respuestas a incidentes que utiliza el equipo de servicios de CrowdStrike utiliza para investigar incidentes.
Descargar ahora¿En qué fases se divide la respuesta a incidentes?
Según el Instituto Nacional de Estándares y Tecnología (NIST) de EE. UU., la respuesta a incidentes comprende cuatro fases fundamentales:
- Preparación: ninguna empresa puede improvisar una respuesta en el momento y salir airada. Hay que contar con un plan para prevenir y gestionar este tipo de escenarios.
- Detección y análisis: la segunda fase consiste en determinar si se ha producido un incidente, de qué tipo y su gravedad.
- Contención y erradicación: el objetivo de la contención es frenar las consecuencias del incidente antes de que cause más daños.
- Recuperación posterior al incidente: después de un incidente grave, es fundamental convocar a todas las partes afectadas para analizar qué se ha aprendido y reforzar la seguridad en general y la gestión de incidentes en particular. Si el incidente no ha sido muy grave, esta fase no es obligatoria pero sí preferible.
Más información
Descubre cómo CrowdStrike traduce cada fase del proceso de respuesta a incidentes en pasos concretos y fáciles de seguir.
¿Por qué es importante un plan de respuesta a incidentes?
Los ciberataques no son problemas meramente técnicos, son un problema para la empresa; cuanto antes se mitiguen, menos daños causarán.
Piensa en brechas recientes que han sido noticia durante semanas. ¿Se avisó a la empresa a tiempo y, aún así, no supo actuar? ¿Intentaron restar importancia al asunto de cara al público pero las investigaciones acabaron destapando la verdad? ¿Informaron a las víctimas mediante canales desorganizados que solo sirvieron para alimentar la confusión? ¿Se acusó al equipo ejecutivo de realizar una gestión deficiente, ya fuera porque ignoraron la gravedad del incidente o porque se deshicieron de recursos esenciales (lo que solo empeoró la situación)? Estos son indicios de que la empresa no tenía un plan.
Más allá de cuestiones técnicas, un plan de respuesta a incidentes debe adaptarse a las prioridades de la empresa y a lo que esta entienda por "riesgo tolerable".
El equipo de respuesta a incidentes tiene que conocer los requisitos operativos a corto plazo de la empresa y sus objetivos estratégicos a largo plazo para minimizar las interrupciones y la pérdida de datos durante y después de un incidente.
Toda la información recabada puede reutilizarse para mejorar la evaluación de riesgos y la respuesta a incidentes en sí. De esta forma, los próximos incidentes se gestionarán mejor y, en general, se fortalece la posición de seguridad. Si los inversores, las partes interesadas, los clientes, los medios de comunicación, los jueces y los auditores preguntan por un incidente, las empresas que cuenten con un plan de respuesta podrán consultar sus registros y demostrar que han actuado de manera responsable y contundente.
INFORME SOBRE LOS CIBERFRENTES
Cada año nuestro equipo de servicios enfrenta nuevos adversarios. Descarga el informe sobre los ciberfrentes para descubrir análisis y consejos prácticos de nuestros expertos en servicios.
Descargar ahoraLa mayoría de empresas carece de un plan
Aunque la necesidad es obvia, sorprende la cantidad de empresas que no tiene un plan de respuesta a incidentes, o el que tiene es insuficiente.
Según una encuesta de Ponemon, el 77 % de las empresas no sigue de manera consistente un plan de respuesta a incidentes, y casi la mitad carece por completo de uno o solo aplica medidas inconexas. Entre las que sí cuenta con uno, solo el 32 % diría que es sólido.
Estos datos son preocupantes, en especial estas dos afirmaciones: el 57 % de las empresas tarda cada vez más en frenar ciberataques, y el 65 % enfrenta ataques más graves que nunca.
Estas afirmaciones van de la mano; cuando se trata de ciberseguridad, la velocidad es clave para minimizar los daños. Cada segundo que pasan los ciberdelincuentes en la red de su víctima es una oportunidad más para robar y destruir. Un plan de respuesta a incidentes puede robar tiempo a los atacantes, ya que garantiza que los equipos de respuesta sepan cómo actuar y tengan las herramientas y los permisos para ello.
Más información
¿Sabes cuál es el mayor reto de la respuesta a incidentes? Lee esta entrada de blog para descubrirlo: "Confessions of a Responder: The Hardest Part of Incident Response Investigations" (Confesiones de un equipo de respuesta: ¿qué es lo más difícil de la respuesta a incidentes basada en investigaciones?)
El servicio de respuesta a incidentes de CrowdStrike
Las empresas carecen de las capacidades internas necesarias para desarrollar o ejecutar un plan eficaz por sí mismas. Si tienen la suerte de contar con un equipo especializado, es probable que esté saturado ante las avalanchas de falsos positivos de sus sistemas de detección automatizados, o que esté demasiado ocupado con las tareas existentes para mantenerse al día de las amenazas más recientes.
CrowdStrike se enorgullece de ser líder en respuesta a incidentes y proporciona control, estabilidad y organización a lo que puede convertirse en un auténtico caos; ya que en estrecha colaboración con las organizaciones para desarrollar planes de respuesta a incidentes que se adapten a la estructura y capacidades de sus equipos.
Acompañamos a las empresas en su proceso de mejora de sus actuales planes de respuesta; para ello, les ayudaremos a estandarizar y optimizar sus operaciones. También analizaremos sus planes y capacidades existentes, y trabajaremos después con su equipo para desarrollar procedimientos operativos estándar que guíen las actividades durante la fase de respuesta a incidentes. Por último, nuestro equipo de servicios puede ayudarte a poner a prueba tus estrategias con ejercicios como pruebas de penetración, ejercicios equipo rojo/equipo azul, y situaciones de emulación del adversario.
Descubre cómo CrowdStrike permite responder a los incidentes de manera más rápida y efectiva:
JJ Cranford es Senior Manager of Product Marketing en CrowdStrike y es el principal responsable de la respuesta a incidentes y los servicios de asesoría. JJ trabajó anteriormente en Cybereason, OpenText y Guidance Software, donde se ocupó de la estrategia de comercialización de las suites de productos XDR, EDR y DFIR. Proporciona información sobre las tendencias del mercado, los retos del sector y las soluciones en las áreas de respuesta a incidentes, seguridad de endpoints, gestión del riesgo y defensa frente a ransomware.
