A pesar de que el efecto de un ciberataque a una empresa puede ser devastador, la gran mayoría de ellas no está preparada para afrontar un problema de esta envergadura. Aunque contemos con un buen plan de prevención y un gran equipo de seguridad, las brechas ocurren. Y es entonces cuando debemos tener listo un buen Plan de Respuesta a Incidentes.

¿En qué consiste un SIRP?

Un Security Incident Response Plan (SIRP), o Plan de Respuesta a Incidentes, es, como su nombre indica, una guía para aplicar una serie de medidas en caso de una violación o una brecha de seguridad. Este plan tiene como objetivo el minimizar la cantidad y gravedad de los incidentes de ciberseguridad. Muchas empresas, indican los expertos, aprenden a contener los daños de un problema de seguridad tras un ataque. Pero esto supone un coste enorme.

Un SIRP permite atender la incidencia lo antes posible, conteniendo los daños para que no se extiendan, y aplicando las soluciones casi de forma inmediata. Para ello es muy conveniente contar con un Equipo de Respuesta, también denominado Computer Security Incident Response Team, o CSIRT, además de con el propio SIRP. No obstante, la confección del plan requiere de un equipo de IT maduro y experimentado, lo que no excluye que se deba preparar desde el primer momento.

Preparando un Plan de Respuesta a Incidentes

Todos los SIRP cuentan con un proceso común consistente en una serie de pasos, que no son siempre necesarios, pero marcan una pauta general de actuación. Podríamos dividir el SIRP en tres fases.

  • Actuación inicial

En esta primera fase el plan deberá comenzar evaluando la situación, para lo que pondremos especial atención en la actividad y comprobaremos si es un falso positivo, valorando a priori la gravedad de un posible ataque. Desde este mismo momento registraremos minuciosamente todos los datos. El siguiente paso será asegurar la correcta comunicación del incidente al resto del CSIRT, si este existe, para garantizar la coordinación. Contener el daño inmediato es imprescindible, para lo que decidiremos qué datos son más importantes y los protegeremos siguiendo una escala de prioridades. Para minimizar el riesgo deberemos tener en cuenta que siempre es más conveniente interrumpir un recurso informático que tratar de reparar los daños a posteriori.

  • Catalogar el ataque

A partir de aquí, el SIRP pasará a una fase intermedia donde se identificará el tipo y la gravedad del ataque sufrido. Esto es esencial para poder recuperar los sistemas adecuadamente. Es imprescindible identificar la naturaleza del ataque, su punto de origen, la posible intención, y los sistemas y archivos expuestos. El siguiente paso será identificar accesos físicos inesperados y examinar grupos clave en busca de entradas no autorizadas. Hay que tener especial atención con los gaps, o espacios en blanco, que muestran pérdidas en el registro del sistema.

Habrá que examinar los archivos de registro, conexiones inusuales, comprobar las auditorías de seguridad, inicios de sesión fallidos y otro sin fin de posibles indicios de algo inusual que nos dé pistas de cómo se ha producido la incidencia. Esta es la parte del proceso más minuciosa. Una vez identificado correctamente el ataque, el equipo completo podrá ponerse en marcha para asegurar los logs, las pruebas y todo tipo de información relevante, algo que no hay que descuidar por sus importantes implicaciones legales.

  • Notificación, documentación y revisión

La última fase del plan se encargará de reunir, organizar la información y documentar el incidente, así como notificar a las partes implicadas. Informar es algo esencial para evitar posibles daños futuros o, incluso, contener un ataque coordinado a varias entidades. Además, la notificación de incidentes de seguridad adquirirá aún mayor relevancia a partir de mayo de 2018. La entrada en vigor del GDPR obligará a las empresas a reportar a las autoridades competentes cualquier violación de datos personales en un plazo máximo de 72 horas. Una vez terminado este proceso de notificación, deberemos proceder a recuperar los sistemas y documentarlo todo de forma precisa. La recuperación dependerá de las intenciones, los objetivos y los daños causados a los sistemas. Un hecho crucial es contar con copias de seguridad limpias, sobre las cuales deberemos revisar si existen posibles puntos débiles para subsanar problemas de seguridad.

Por último, en la documentación se ha de generar un informe detallado. Ya que hemos registrado todo el proceso ocurrido durante la incidencia, deberemos guardar toda esta información de forma ordenada y precisa, cronológicamente. En dicha documentación habrá que hacer también una valoración de costes del incidente, ya que puede que sea otra prueba legal si se da el caso. El último paso consistirá en revisar las directivas de respuesta y actuación para mejorar el Plan de Respuesta a Incidentes, evaluando los errores cometidos y proponiendo mejoras en el mismo.

Soluciones de ciberseguridad avanzada, como Adaptive Defense 360, permite al equipo de IT tener una visbilidad absoluta de la red corporativa y realiza informes forenses con todo detalle de la infección producida.