Instituto Nacional de ciberseguridad. Sección Incibe
Protege tu empresa. Sección empresas

Respuesta a incidentes, ¿estáis preparados?

Fecha de publicación 14/02/2019
Autor
INCIBE (INCIBE)
Respuesta a incidentes, ¿estáis preparados?

¿Te has preguntado alguna vez qué debes hacer si en tu empresa se diera algún incidente de seguridad? ¿Cuáles son los pasos que se deben seguir y en qué orden? Por muchas y muy bien implantadas que estén las medidas de seguridad en tu negocio, siempre estará presente el riesgo de que se materialice una amenaza. Por este motivo, es imprescindible contar con un plan de acción que marque las pautas a seguir en caso de que se produzca algún incidente de seguridad. 

Análisis inicial. ¿Qué ha pasado?

El primer paso que se tiene que dar a la hora de afrontar un suceso de este tipo que pudiera afectar a la seguridad de la empresa, es saber qué ha pasado. Para ello, se deberán tener en cuenta los siguientes puntos:

Antecedentes

Con los datos que se poseen en el momento en el que se ha detectado el incidente, tendremos que definir el problema. Para ello, habrá que valorar los aspectos relacionados con la gravedad o criticidad, en función de la prioridad con la que necesitamos que se resuelva. También es recomendable saber si el problema tiene un origen interno o externo y sobre todo, qué tipología tiene: malware, denegación de servicio, acceso no autorizado, robo de información, daño físico, etc. 

Comunicación

Una vez definido el problema, habrá que saber qué personas de la organización tienen constancia acerca del mismo. Posteriormente, saber si estos cuentan con los contactos del personal de apoyo en caso de incidente, ya sean internos o externos: soporte técnico; proveedores de servicios; perito forense; Policía Nacional o Guardia Civil, en caso de que haya que proceder con una denuncia; INCIBE-CERT, etc.

A la hora de contar con un plan de acción deberemos identificar a un responsable para su coordinación. Además, hay que saber quién o quiénes están autorizados para tomar decisiones sobre las operaciones o servicios que se hayan visto comprometidos. 

Por último, asegurarse de que todos sepan cuál será el vehículo utilizado para realizar las notificaciones relacionadas con incidentes de seguridad como el e-mail, el teléfono, etc., y cada cuánto tiempo se actualizará la información relacionada con el mismo.

Alcance

Para poder hacer una valoración certera, habrá que saber qué elementos de la infraestructura se han visto comprometidos (dispositivos, equipos, servidores, redes, etc.), junto con qué procesos, aplicaciones o servicios dependen de esa infraestructura afectada. 

Una vez conocido el alcance, podremos plantearnos otro tipo de cuestiones relacionadas con las implicaciones legales o contractuales (RGPD, LOPD, PCI, etc.) o si vamos a proceder a denunciarlo a las Fuerzas y Cuerpos de Seguridad del Estado (FCSE). 

Revisa las acciones que se tomaron nada más detectarse el incidente

Toda precaución es poca a la hora de gestionar un incidente de seguridad. Se debe valorar su alcance y plantearse una serie de cuestiones como por ejemplo, qué hizo la persona que detectó el incidente, qué comandos o herramientas fueron utilizadas, qué medidas se tomaron para la contención del mismo, si saltaron alarmas como la del antivirus o si se revisaron los logs para localizar más entradas sospechosas, etc.

Prepara la respuesta al incidente

Toda esta información recabada, será indispensable para preparar una respuesta eficiente ante un incidente de seguridad. Sin embargo, deberemos conocer otro tipo de información:

  • si se cuenta con instrucciones o guías para su gestión o con herramientas de monitorización  de los sistemas afectados; 
  • si existen medios para transferir la infraestructura afectada (dispositivos de almacenamiento externo);
  • dónde se encuentran físicamente ubicados los mecanismos o sistemas afectados;
  • qué mecanismos de backup o restauración están implantados o si será necesario un análisis forense del incidente. 

Fases de la respuesta a incidentes

La respuesta a incidentes es un ciclo que cuenta con las siguientes fases.

  • Preparación: donde se reúnen las herramientas necesarias para el tratamiento del incidente (antimalware, comprobadores de integridad de ficheros o dispositivos, escáneres de vulnerabilidades, análisis de logs, sistemas de recuperación y backup, análisis forense, etc.). 
  • Identificación: dónde se detecta el incidente, se determina el alcance y se conforma una solución. Esta fase engloba a los responsables del negocio, operaciones y comunicación (contactos con soportes técnicos, CERT, peritos forenses, policía o asesores legales si fueran necesarios, etc.).
  • Contención: impidiendo que el incidente se extienda a otros recursos. Como consecuencia, se minimizará su impacto (separando equipos de la red afectada, deshabilitando cuentas comprometidas, cambiando contraseñas, etc.).
  • Erradicación: eliminando los elementos comprometidos, en caso de ser necesario (reinstalación de sistemas afectados o backups), previos a la recuperación.
  • Recapitulación: donde se documentan los detalles del incidente. Para ello, se archivarán los datos recogidos y se debatirán las lecciones aprendidas. Se informará a los empleados y se les enseñarán las recomendaciones dirigidas a prevenir situaciones de riesgo futuras. 

Imagen que muestra las fases de la respuesta a incidentes: preparación, identificación, contención, erradicación y recapitulación.

Son muchos los que creen que los incidentes de seguridad son “cosas de empresas grandes”, o el “eso a mí, no me puede pasar”, sin embargo, es más común de lo que pensamos. Aunque contemos con medidas preventivas y de seguridad, el riesgo de ser víctimas de un incidente de seguridad estará siempre presente. Por lo tanto, plantéate contar con un plan que te asegure saber qué hacer en caso de que tu organización y tu información se vean comprometidas.