Planificación previa al incidente: 5 elementos que debe documentar en un plan de respuesta a incidentes
Planificación previa al incidente:
Porque cuando suceda, no tendrás tiempo para buscar esta información.
La mayoría de las guías de preparación en seguridad de TI se enfocan en qué hacer después de que comienza un ataque. Aislar los dispositivos infectados. Contactar a tu equipo de respuesta a incidentes. Notificar al área legal. Todos son buenos consejos, pero solo son útiles si ya sabes a quién llamar, dónde están tus respaldos y qué sistemas son críticos para que el negocio sobreviva.
El problema es que las primeras horas de un incidente de ransomware son caóticas. Decisiones que deberían tomar minutos se alargan cuando la información necesaria está dispersa en hilos de correo electrónico, en la memoria institucional o en sistemas que ahora pueden estar inaccesibles. No es una falla tecnológica. Es una falla de documentación, y es completamente prevenible.
Lo que sigue no es un plan de respuesta a incidentes. Es algo más concreto y práctico de inmediato: cinco categorías críticas de información que tu equipo debe tener documentadas y accesibles antes de que ocurra un incidente. Elaborar esta lista no tomará mucho tiempo. No tenerla cuando la necesites te costará mucho más tiempo del que ahorra.
Cuando ocurre un incidente de seguridad, la primera reacción suele ser tomar el teléfono. El problema es que muchos equipos no siempre saben a quién deben llamar.
Tu documentación de escalamiento debe incluir la información de contacto de tu equipo de respuesta a incidentes, los contactos principales y los contactos de tu socio DFIR. También debe incluir el proceso de activación, la información de contacto de tu asesor legal (con experiencia en privacidad de datos) y el contacto para reclamaciones de tu aseguradora de ciberseguro, junto con tu número de póliza.
La documentación de escalamiento debe contener los contactos clave y los detalles de la póliza necesarios para un incidente. Específicamente, debe incluir:
Equipo de respuesta a incidentes y responsables
Información de contacto de tu equipo interno de respuesta a incidentes y de sus responsables
Socio DFIR
Datos de contacto de tu socio de Forense Digital y Respuesta a Incidentes (DFIR), incluido su proceso de activación.
Asesor legal
Información de contacto de tu asesor legal externo, asegurando que tenga experiencia en privacidad de datos.
Seguro cibernético
El contacto para reclamaciones de tu aseguradora de seguro cibernético y tu número de póliza.
Ese último punto es el que con más frecuencia falta. Las pólizas de seguro cibernético suelen incluir plazos específicos de notificación, y no cumplirlos puede generar complicaciones con tu reclamación justo en el momento en que menos puedes permitirte complicaciones. Conocer tu contacto para reclamaciones y tu número de póliza antes de que ocurra un incidente es indispensable.
Una nota final sobre el seguro cibernético: guarda tu póliza de forma segura y separada de tus sistemas principales. Los actores maliciosos que hayan pasado tiempo dentro de tu red antes de lanzar el cifrado pueden tener acceso a los documentos almacenados allí. La información de tu póliza no debe estar en un lugar donde puedan encontrarla.
Cuando todo se mueve rápido, no quieres estar buscando un número de teléfono.
Los actores maliciosos atacan primero los respaldos. No es una especulación. Es un patrón constante que DriveSavers ha observado en numerosos incidentes de ransomware. Antes de cifrar los sistemas de producción, los atacantes suelen identificar y comprometer la infraestructura de respaldo para eliminar la vía de recuperación más directa de la víctima. Para cuando comienza el cifrado, los respaldos pueden ya haber desaparecido.
Esto debe orientar la manera en que piensas sobre la documentación de respaldos. No basta con saber que existen respaldos. Tu equipo debe poder evaluar rápidamente la integridad de los respaldos en condiciones de incidente, lo que significa que la arquitectura debe estar lo suficientemente documentada para permitir esa evaluación antes de que alguien esté bajo presión.
Documenta dónde se encuentran los respaldos (en sitio, fuera de sitio y en la nube), cómo se ejecutan las tareas de respaldo y con qué frecuencia, así como los procedimientos de restauración paso a paso.
Asume que tus respaldos pueden estar comprometidos hasta que puedas verificar lo contrario.
En un incidente de seguridad, no podrás restaurarlo todo al mismo tiempo. Las decisiones sobre qué se recupera primero se tomarán rápidamente, bajo presión, por personas que quizá estén funcionando con muy poco descanso. Esas decisiones se toman mucho mejor con anticipación, sin la presión del momento.
Tu lista de datos críticos debe identificar los sistemas sin los cuales la empresa no puede operar, los conjuntos de datos necesarios para las operaciones diarias y un orden de prioridad claro para la restauración: imprescindibles frente a deseables.
Sé honesto sobre aquello de lo que realmente depende el negocio frente a lo que es solo importante. Esa honestidad es mucho más difícil de lograr en medio de un incidente activo. Prioriza los conjuntos de datos imprescindibles antes de perseguir los que sería bueno tener. No todo puede recuperarse primero, y saberlo de antemano es una ventaja operativa significativa.
En un incidente de seguridad, la recuperación no se trata solo de restaurar datos, sino de restaurar primero los datos correctos.
En un incidente de seguridad, la recuperación no se trata solo de restaurar datos, sino de restaurar primero los datos correctos.
En la mayoría de los entornos de tamaño significativo, la infraestructura de respaldo abarca múltiples ubicaciones. La documentación de responsabilidades debe cubrir quién es dueño de cada entorno de respaldo, las credenciales de acceso a respaldos, instantáneas y réplicas, y dónde pueden existir sistemas secundarios y copias adicionales.
Toma en cuenta que los mismos datos suelen existir en múltiples formas: un respaldo principal, una instantánea, una réplica, una copia archivada en cinta o en un entorno de nube secundario. En escenarios donde los respaldos principales han sido comprometidos, saber dónde más buscar puede marcar una diferencia significativa.
Un mapa de responsabilidades completo es, en términos prácticos, un mapa de tu superficie de recuperación. Cuanto más completo sea antes de un incidente, más opciones tendrás durante uno.
Los mismos datos suelen existir en múltiples formas. Saber dónde buscar amplía las opciones de recuperación.
La recuperación operativa exitosa después de un ciberataque depende en gran medida de los proveedores que ofrecen los productos y servicios que sostienen tu infraestructura. Por ello, es fundamental documentar sus rutas de escalamiento y canales de soporte antes de que ocurra un incidente.
La lista de contactos de proveedores debe incluir a los proveedores necesarios para restaurar las operaciones principales, sus canales de soporte y rutas de escalamiento, así como un socio de recuperación de datos para los casos en que los respaldos y las herramientas de descifrado hayan fallado.
Ese tercer punto es el que la mayoría de las organizaciones omite por completo. Las fallas en los respaldos y en los descifradores no son casos aislados poco frecuentes. Son resultados realistas de un ciberataque bien ejecutado. Tener identificado y documentado a un socio profesional de recuperación de datos antes de un incidente significa que no estarás evaluando proveedores en el peor momento del año para tu organización. También significa que tu equipo de respuesta a incidentes cuenta con una ruta de recuperación paralela en lugar de depender de un único punto de resolución.
Documentar estas relaciones con anticipación garantiza que, cuando comience la recuperación, tu equipo esté ejecutando un plan y no buscando uno.
English (United States) 
English (Australia) 
French (France) 
English (UK) 
French (Canada) 
English (Canada) 
Spanish (Mexico) 
German 
Dutch 
Italian 
Finnish 
Polish 
Norwegian 
Swedish 
Danish 
Spanish (Spain) 
Chinese 
Japanese 
German (Austria)