Planificación previa al incidente: 5 elementos que debe documentar en un plan de respuesta ante incidentes
Planificación previa al incidente:
Porque cuando ocurra, no tendrás tiempo para buscar esta información.
La mayoría de las guías de preparación en ciberseguridad se centran en qué hacer una vez que comienza un ataque. Aislar los dispositivos infectados. Contactar con tu equipo de respuesta ante incidentes. Notificar al departamento jurídico. Todos son buenos consejos, pero solo resultan útiles si ya sabes a quién llamar, dónde se encuentran tus copias de seguridad y qué sistemas son imprescindibles para que la empresa sobreviva.
El problema es que las primeras horas de un incidente de ransomware son caóticas. Decisiones que deberían llevar solo unos minutos se alargan cuando la información necesaria está dispersa en hilos de correo electrónico, en la memoria institucional o en sistemas que ahora pueden ser inaccesibles. No es un fallo tecnológico. Es un fallo de documentación, y es totalmente prevenible.
Lo que sigue no es un plan de respuesta ante incidentes. Es algo más concreto y de aplicación inmediata: cinco categorías críticas de información que tu equipo debe tener documentadas y accesibles antes de que ocurra un incidente. Elaborar esta lista no llevará mucho tiempo. No tenerla cuando la necesites te costará mucho más tiempo del que te ahorra.
Cuando ocurre un incidente de seguridad, la primera reacción suele ser coger el teléfono. El problema es que muchos equipos no siempre saben a quién deben llamar.
Tu documentación de escalado debe incluir la información de contacto de tu equipo de respuesta ante incidentes, los contactos principales y los contactos de tu socio DFIR. Incluye también el proceso de activación, los datos de contacto de tu asesor jurídico (con experiencia en protección de datos) y el contacto para siniestros de tu aseguradora de ciberseguro, junto con tu número de póliza.
La documentación de escalado debe contener los contactos clave y los detalles de la póliza necesarios en caso de incidente. En concreto, debe incluir:
Equipo de respuesta ante incidentes y responsables
Información de contacto de tu equipo interno de respuesta ante incidentes y de sus responsables
Socio DFIR
Datos de contacto de tu socio de Análisis Forense Digital y Respuesta ante Incidentes (DFIR), incluido su proceso de activación.
Asesor jurídico
Información de contacto de tu asesor jurídico externo, asegurándote de que tenga experiencia en protección de datos.
Ciberseguro
El contacto para siniestros de tu aseguradora de ciberseguro y tu número de póliza.
Ese último punto suele ser el más importante. Las pólizas de ciberseguro son con frecuencia objetivo de actores maliciosos para su eliminación tras conocer los límites de cobertura.
Recomendación: Guarde su póliza de forma segura y por separado de sus sistemas principales. Los actores maliciosos que hayan permanecido en su red antes de iniciar el cifrado pueden tener acceso a los documentos almacenados allí. La información de su póliza no debe estar en un lugar donde puedan encontrarla. Además, imprima una copia y guárdela en una caja fuerte.
Cuando todo ocurre deprisa, no quieres estar buscando un número de teléfono.
Los actores maliciosos atacan primero las copias de seguridad. No es una especulación. Es un patrón constante que DriveSavers ha observado en numerosos incidentes de ransomware. Antes de cifrar los sistemas de producción, los atacantes suelen identificar y comprometer la infraestructura de copias de seguridad para eliminar la vía de recuperación más directa de la víctima. Cuando se inicia el cifrado, las copias de seguridad pueden haber desaparecido.
Esto debe orientar la forma en que piensas sobre la documentación de copias de seguridad. No basta con saber que existen copias de seguridad. Tu equipo debe poder evaluar rápidamente la integridad de las copias de seguridad en condiciones de incidente, lo que significa que la arquitectura debe estar lo suficientemente documentada como para permitir esa evaluación antes de que alguien esté bajo presión.
Documenta dónde se encuentran las copias de seguridad (en local, fuera de las instalaciones y en la nube), cómo se ejecutan las tareas de copia y con qué periodicidad, así como los procedimientos de restauración paso a paso.
Asume que tus copias de seguridad pueden estar comprometidas hasta que puedas verificar lo contrario.
En un incidente de seguridad, no podrás restaurarlo todo al mismo tiempo. Las decisiones sobre qué se recupera primero se tomarán rápidamente, bajo presión, por personas que pueden estar funcionando con muy poco descanso. Esas decisiones se toman mucho mejor de antemano, sin la presión del momento.
Tu lista de datos críticos debe identificar los sistemas sin los que la empresa no puede operar, los conjuntos de datos necesarios para la actividad diaria y un orden de prioridad claro para la restauración: imprescindibles frente a deseables.
Sé honesto sobre aquello de lo que realmente depende la empresa frente a lo que es simplemente importante. Esa honestidad es mucho más difícil de alcanzar en medio de un incidente activo. Prioriza los conjuntos de datos que deben restaurarse antes de ocuparte de los que sería deseable recuperar. No todo puede volver primero, y saberlo de antemano supone una ventaja operativa significativa.
En un incidente de seguridad, la recuperación no consiste solo en restaurar datos, sino en restaurar primero los datos adecuados.
En un incidente de seguridad, la recuperación no consiste solo en restaurar datos, sino en restaurar primero los datos adecuados.
En la mayoría de los entornos de tamaño considerable, la infraestructura de copias de seguridad se extiende a múltiples ubicaciones. La documentación de responsabilidades debe indicar quién es responsable de cada entorno de copia de seguridad, las credenciales de acceso a copias, instantáneas y réplicas, y dónde pueden existir sistemas secundarios y copias adicionales.
Ten en cuenta que los mismos datos suelen existir en múltiples formas: una copia de seguridad principal, una instantánea, una réplica o una copia archivada en cinta o en un entorno de nube secundario. En escenarios en los que las copias de seguridad principales han sido comprometidas, saber dónde más buscar puede marcar una diferencia significativa.
Un mapa completo de responsabilidades es, en la práctica, un mapa de tu superficie de recuperación. Cuanto más completo sea antes de un incidente, más opciones tendrás durante el mismo.
Los mismos datos suelen existir en múltiples formas. Saber dónde buscar amplía las opciones de recuperación.
La recuperación operativa satisfactoria tras un ciberataque depende en gran medida de los proveedores que ofrecen los productos y servicios que sustentan tu infraestructura. Por ello, es fundamental documentar sus vías de escalado y canales de soporte antes de que se produzca un incidente.
La lista de contactos de proveedores debe incluir a los proveedores necesarios para restaurar las operaciones clave, sus canales de soporte y vías de escalado, así como un socio de recuperación de datos para los escenarios en los que las copias de seguridad y las herramientas de descifrado hayan fallado.
Ese tercer punto es el que la mayoría de las organizaciones omite por completo. El fallo de las copias de seguridad y de las herramientas de descifrado no son casos aislados poco frecuentes. Son resultados realistas de un ciberataque bien ejecutado. Tener identificado y documentado a un socio profesional de recuperación de datos antes de un incidente significa que no tendrás que evaluar proveedores en el peor momento posible para tu organización. También implica que tu equipo de respuesta a incidentes dispone de una vía de recuperación paralela en lugar de depender de un único punto de resolución.
Documentar estas relaciones de antemano garantiza que, cuando comience la recuperación, tu equipo esté ejecutando un plan y no buscándolo.
English (United States) 
English (Australia) 
French (France) 
English (UK) 
French (Canada) 
English (Canada) 
Spanish (Mexico) 
German 
Dutch 
Italian 
Finnish 
Polish 
Norwegian 
Swedish 
Danish 
Spanish (Spain) 
Chinese 
Japanese 
German (Austria)