Desarrollar un plan de respuesta a incidentes

Determinar las partes interesadas clave

La planificación adecuada para un posible incidente no es responsabilidad exclusiva del equipo de seguridad. De hecho, es probable que un incidente afecte a casi todos los departamentos de la organización, especialmente si se convierte en una infracción a gran escala. Para coordinar adecuadamente una respuesta, primero debe determinar quién debe participar. Esto suele incluir la representación de la alta dirección, seguridad, TI, legal y relaciones públicas. Saber quién debe estar presente y participar en los ejercicios de planificación de la organización es algo que debe determinarse de antemano. Además, debe establecerse un método de comunicación para garantizar una respuesta rápida. Esto debe tener en cuenta la posibilidad de que sus canales normales de comunicación (es decir, el correo electrónico corporativo) puedan verse afectados por un incidente.

Identificar activos críticos

Para determinar el alcance y el impacto de un ataque, su organización primero debe identificar sus activos de mayor prioridad. Hacer un mapa de sus activos de mayor prioridad no solo lo ayudará a determinar su estrategia de protección, sino que también facilitará mucho la determinación del alcance y el impacto de un ataque. Además, al identificarlos con anticipación, su equipo de respuesta a incidentes podrá concentrarse en los activos más críticos durante un ataque, lo que minimizará las interrupciones en el negocio.

Realizar ejercicios de mesa

La respuesta a incidentes es como muchas otras disciplinas: la práctica hace al maestro. Si bien es difícil replicar por completo la intensa presión que experimentará su equipo durante una posible infracción, los ejercicios de práctica garantizan una respuesta más coordinada y eficaz cuando ocurre una situación real. Es importante no solo realizar ejercicios técnicos de simulación (a menudo como parte de un simulacro de equipo rojo), sino también ejercicios más amplios que incluyan a las distintas partes interesadas del negocio identificadas previamente.

Los ejercicios de simulación deben poner a prueba las respuestas de su organización a una variedad de posibles escenarios de respuesta a incidentes. Cada uno de estos escenarios también puede incluir partes interesadas más allá del equipo técnico inmediato. Su organización debe determinar de antemano a quién debe informar cuando se detecta un ataque, incluso si se ha defendido con éxito.

Los escenarios comunes de respuesta a incidentes incluyen:  

• Adversario activo detectado dentro de su red: En estos escenarios, es fundamental que el equipo de respuesta determine cómo un atacante pudo infiltrarse en su entorno, qué herramientas y técnicas utilizó, qué fue lo que atacó y si logró mantener la persistencia. Esta información ayudará a determinar el curso de acción adecuado para neutralizar el ataque. Si bien puede parecer obvio que expulsaría inmediatamente al adversario del entorno, algunos equipos de seguridad optan por esperar y observar al atacante para obtener información importante a fin de determinar qué está tratando de lograr y qué métodos está utilizando para lograrlo.  
• Violación de datos exitosa: Si se detecta una filtración de datos exitosa, su equipo debería poder determinar qué se filtró y cómo. Esto luego informará la respuesta adecuada, incluida la posible necesidad de considerar el impacto en las políticas regulatorias y de cumplimiento, si es necesario contactar a los clientes y la posible participación de las autoridades legales o de cumplimiento de la ley.
• Ataque de ransomware exitoso: Si los datos y sistemas críticos están cifrados, su equipo debe seguir un plan para recuperar dichas pérdidas lo más rápido posible. Esto debe incluir un proceso para restaurar los sistemas a partir de copias de seguridad. Para garantizar que el ataque no se repita tan pronto como vuelva a estar en línea, el equipo debe investigar si se ha cortado el acceso del adversario. Además, su organización en general debe determinar si estaría dispuesta a pagar un rescate en situaciones extremas y, de ser así, cuánto estaría dispuesta a gastar.  
• Sistema de alta prioridad comprometido: Cuando un sistema de alta prioridad se ve comprometido, es posible que su organización no pueda realizar sus actividades con normalidad. Además de todos los pasos necesarios como parte de un plan de respuesta a incidentes, su organización también debe considerar la posibilidad de establecer un plan de recuperación empresarial para garantizar una interrupción mínima en un escenario como este.

Implementar herramientas de protección

La mejor manera de abordar un incidente es protegerse contra él desde el principio. Asegúrese de que su organización tenga disponible la protección adecuada para terminales, redes, servidores, nube, dispositivos móviles y correo electrónico.

Asegúrese de tener la máxima visibilidad

Sin la visibilidad adecuada de lo que está sucediendo durante un ataque, su organización tendrá dificultades para responder adecuadamente. Antes de que ocurra un ataque, los equipos de TI y seguridad deben asegurarse de tener la capacidad de comprender el alcance y el impacto de un ataque, incluida la determinación de los puntos de entrada del adversario y los puntos de persistencia. La visibilidad adecuada incluye la recopilación de datos de registro, con un enfoque en los datos de la red y el punto final. Dado que muchos ataques tardan días o semanas en descubrirse, es importante que tenga datos históricos que se remonten a días o semanas (incluso meses) para investigar. Además, asegúrese de que dichos datos estén respaldados para que se pueda acceder a ellos durante un incidente activo. 6. Implemente el control de acceso Los atacantes pueden aprovechar el control de acceso débil para infiltrarse en las defensas de su organización y escalar privilegios. Asegúrese regularmente de tener los controles adecuados para establecer el control de acceso. Esto incluye, entre otras cosas, implementar la autenticación multifactor, limitar los privilegios de administrador a la menor cantidad de cuentas posible (siguiendo el Principio del menor privilegio), cambiar las contraseñas predeterminadas y reducir la cantidad de puntos de acceso que necesita monitorear.

Invertir en herramientas de investigación

Además de asegurarse de tener la visibilidad necesaria, su organización debe invertir en herramientas que proporcionen el contexto necesario durante una investigación.

Algunas de las herramientas más comunes que se utilizan para la respuesta a incidentes incluyen la detección y respuesta de endpoints (EDR) o la detección y respuesta extendidas (XDR), que le permiten buscar en todo su entorno para detectar indicadores de compromiso (IOC) e indicadores de ataque (IOA). Las herramientas EDR ayudan a los analistas a identificar qué activos se han visto comprometidos, lo que a su vez ayuda a determinar el impacto y el alcance de un ataque. Cuantos más datos se recopilen (de los endpoints y más allá), más contexto estará disponible durante la investigación. Tener una visibilidad más amplia le permitirá a su equipo no solo determinar qué fue lo que los atacantes atacaron, sino también cómo ingresaron al entorno y si aún tienen la capacidad de acceder a él nuevamente.

Además de las herramientas EDR, los equipos de seguridad avanzados también pueden implementar una solución de orquestación, automatización y respuesta de seguridad (SOAR) que ayude en los flujos de trabajo de respuesta.

Establecer acciones de respuesta

Detectar un ataque es solo una parte del proceso. Para responder adecuadamente a un ataque, sus equipos de TI y seguridad deben asegurarse de tener la capacidad de llevar a cabo una amplia gama de acciones correctivas para interrumpir y neutralizar a un atacante. Las acciones de respuesta incluyen, entre otras:  

• Aislamiento de los huéspedes afectados  
• Bloqueo de archivos, procesos y programas maliciosos  
• Bloqueo de comandos y control (C2) y actividad maliciosa en sitios web  
• Congelar cuentas comprometidas y cortar el acceso a los atacantes  
• Limpiar artefactos y herramientas del adversario  
• Cerrar puntos de entrada y áreas de persistencia aprovechadas por atacantes (internos y de terceros)  
• Ajustar configuraciones (políticas de amenazas, habilitar seguridad de endpoints y EDR en dispositivos desprotegidos, ajustar exclusiones, etc.)  
• Restauración de activos afectados mediante copias de seguridad sin conexión
• Realizar cursos de concienciación

Si bien ningún programa de capacitación será 100 % efectivo contra un adversario determinado, los programas de educación (por ejemplo, los de concientización sobre phishing) ayudan a reducir el nivel de riesgo y limitan la cantidad de alertas a las que su equipo debe responder. El uso de herramientas para simular ataques de phishing ofrece una forma segura para que su personal experimente (y potencialmente sea víctima de) un ataque de phishing, inscribiendo a quienes no lo logran en la capacitación, así como identificando grupos de usuarios riesgosos que pueden requerir capacitación adicional.

Contratar un servicio de seguridad gestionado

Muchas organizaciones no están equipadas para manejar incidentes por sí solas. Una respuesta rápida y eficaz requiere operadores de seguridad experimentados. Para asegurarse de poder responder adecuadamente, considere trabajar con un recurso externo, como un proveedor de detección y respuesta administradas (MDR).

Los proveedores de MDR ofrecen búsqueda de amenazas, investigación y respuesta a incidentes las 24 horas del día, los 7 días de la semana, como un servicio administrado. Los servicios de MDR no solo ayudan a su organización a responder a los incidentes antes de que se conviertan en infracciones, sino que también funcionan para reducir la probabilidad de que se produzca un incidente en primer lugar. Los servicios de MDR se están volviendo muy populares: según Gartner*, para 2025, el 50 % de las organizaciones utilizarán servicios de MDR (esto representa un aumento respecto de menos del 5 % en 2019).

En ocasiones, también se contratan servicios de respuesta a incidentes de análisis forense de datos (DFIR) después de un incidente para recopilar evidencia que respalde una reclamación legal o de seguros. Resumen Cuando ocurre un incidente de ciberseguridad, el tiempo es esencial. Tener un plan de respuesta bien preparado y bien entendido que todas las partes clave puedan poner en práctica de inmediato reducirá drásticamente el impacto de un ataque en su organización.