Crear un equipo de respuesta a incidentes
Organización y especialización, claves de su éxito
Cuando están en juego el dinero y la reputación de la empresa, el equipo de respuesta a incidentes informáticos debe ser rápido y estar bien organizado. El equipo de personas responsable de dar respuesta a los incidentes en los sistemas informáticos se parece mucho a un equipo de lucha contra incendios, ambos están formados por personas entrenadas para responder con rapidez a incidentes específicos, con el fin de limitar los daños y reducir el tiempo y los costes de la recuperación.
Un equipo de respuesta a incidentes (ERI) puede entrar en acción como consecuencia de ataques de virus o de hackers, sabotaje interno o incluso actividad sospechosa, como los intentos sucesivos de acceder a un determinado sistema o transacciones que quedan fuera de los límites preestablecidos como por ejemplo una transferencia de dinero superior a un millón de dólares. La repuesta de los clientes a los incidentes en las compañías que no disponen de un equipo ERI tiende a ser costosa y de carácter ad-hoc, pero están en juego otras cosas además del dinero. Las compañías que no reaccionan con rapidez ante los incidentes en la seguridad se arriesgan a sufrir daños en su reputación y a perder clientes. Por lo tanto, una tarea clave de un equipo ERI es orquestar una respuesta rápida y bien organizada a nivel de compañía ante cualquier amenaza a los equipos y sistemas informáticos. Así, hay que determinar qué ordenadores, equipos, ámbitos de direcciones y dominios de red serán monitorizados en previsión de posibles incidentes. Saber qué servicios ofrecerá el equipo de respuesta a incidentes y a quién. Desarrollar normas y políticas sobre cuándo informar de infracciones a la seguridad y cuándo informar de un incidente a las autoridades y asegurarse de anunciar en toda la compañía cómo contactar con el equipo de respuesta a incidentes.
La segunda de las premisas es determinar en qué departamento deberá estar el equipo de respuesta a incidentes y quién deberá dirigirlo. Muchas compañías sitúan al equipo ERI dentro de la organización o departamento de Tecnologías de la Información, mientras que otras lo añaden al grupo de seguridad o de auditoría, o bien lo consideran como una función autónoma. Dondequiera que esté situado, el grupo ERI no tendrá éxito si no es apoyado por la dirección superior de la empresa, ya que podría necesitar la colaboración entre múltiples departamentos, como el legal y el de recursos humanos.
Las compañías que pueden permitírselo mantienen a veces un equipo formal de especialistas cuya única tarea es responder ante infracciones a la seguridad externa e interna. Una firma de servicios financieros tiene un equipo de respuesta a incidentes básico formado por 12 especialistas trabajando a tiempo completo. En caso necesario, se movilizan miembros adicionales de los departamentos de recursos humanos y del departamento legal de la compañía para ayudar a ese equipo básico. Una universidad norteamericana ha confiado la tarea de coordinar la respuesta a incidentes a un empleado a tiempo completo. Esa persona actúa como punto de contacto central para informar de incidentes y responder ante ellos. Junto con el grupo de seguridad TI de la universidad, el empleado es responsable de evaluar el alcance, la prioridad y el grado de amenaza del incidente, así como de sugerir la respuesta adecuada.
Equipos específicos
Mantener un equipo de respuesta a incidentes a tiempo completo puede resultar costoso, así que muchas compañías optan por tener un equipo de respuesta a incidentes ad-hoc, que pueda ser formado rápidamente cuando es necesario. Varias son las empresas que crean equipos tipo swat para responder ante incidentes específicos como son las infecciones por virus. Para ello, utilizan alertas a través de pagers y convocan reuniones de respuesta a incidentes de los diversos grupos funcionales designados con ese fin. Se establecen planes de acción y comunicación, para hacer frente a la amenaza en cuestión. Muchas de estas empresas no tiene métodos formales para mantener un equipo de respuesta a incidentes que vayan más allá de conocer quienes son los participantes clave y quién responde a qué tipos de incidentes.
Organización
El éxito de la gestión de un equipo de respuesta a incidentes está directamente relacionado con la organización del mismo. De esta forma, hay que tener normas y procedimientos por escrito y asignar responsabili
dades desde el principio. Asimismo, hay que determinar qué equipo será necesario, donde almacenarlo y como proteger la función de respuesta a incidentes. No es conveniente que personas no autorizadas accedan a información que un equipo de respuesta a incidentes podría detectar durante una respuesta. Nada de esto produce resultados si el plan simplemente permanece inactivo. Hay que realizar ejercicios y sesiones de entrenamiento frecuentes, en especial para los equipos ad-hoc y conviene recordar que es un proceso que hay que realizar bien, pero esperando que no haya que ponerlo en práctica nunca.
Un equipo de respuesta a incidentes (ERI) puede entrar en acción como consecuencia de ataques de virus o de hackers, sabotaje interno o incluso actividad sospechosa, como los intentos sucesivos de acceder a un determinado sistema o transacciones que quedan fuera de los límites preestablecidos como por ejemplo una transferencia de dinero superior a un millón de dólares. La repuesta de los clientes a los incidentes en las compañías que no disponen de un equipo ERI tiende a ser costosa y de carácter ad-hoc, pero están en juego otras cosas además del dinero. Las compañías que no reaccionan con rapidez ante los incidentes en la seguridad se arriesgan a sufrir daños en su reputación y a perder clientes. Por lo tanto, una tarea clave de un equipo ERI es orquestar una respuesta rápida y bien organizada a nivel de compañía ante cualquier amenaza a los equipos y sistemas informáticos. Así, hay que determinar qué ordenadores, equipos, ámbitos de direcciones y dominios de red serán monitorizados en previsión de posibles incidentes. Saber qué servicios ofrecerá el equipo de respuesta a incidentes y a quién. Desarrollar normas y políticas sobre cuándo informar de infracciones a la seguridad y cuándo informar de un incidente a las autoridades y asegurarse de anunciar en toda la compañía cómo contactar con el equipo de respuesta a incidentes.
La segunda de las premisas es determinar en qué departamento deberá estar el equipo de respuesta a incidentes y quién deberá dirigirlo. Muchas compañías sitúan al equipo ERI dentro de la organización o departamento de Tecnologías de la Información, mientras que otras lo añaden al grupo de seguridad o de auditoría, o bien lo consideran como una función autónoma. Dondequiera que esté situado, el grupo ERI no tendrá éxito si no es apoyado por la dirección superior de la empresa, ya que podría necesitar la colaboración entre múltiples departamentos, como el legal y el de recursos humanos.
Las compañías que pueden permitírselo mantienen a veces un equipo formal de especialistas cuya única tarea es responder ante infracciones a la seguridad externa e interna. Una firma de servicios financieros tiene un equipo de respuesta a incidentes básico formado por 12 especialistas trabajando a tiempo completo. En caso necesario, se movilizan miembros adicionales de los departamentos de recursos humanos y del departamento legal de la compañía para ayudar a ese equipo básico. Una universidad norteamericana ha confiado la tarea de coordinar la respuesta a incidentes a un empleado a tiempo completo. Esa persona actúa como punto de contacto central para informar de incidentes y responder ante ellos. Junto con el grupo de seguridad TI de la universidad, el empleado es responsable de evaluar el alcance, la prioridad y el grado de amenaza del incidente, así como de sugerir la respuesta adecuada.
Equipos específicos
Mantener un equipo de respuesta a incidentes a tiempo completo puede resultar costoso, así que muchas compañías optan por tener un equipo de respuesta a incidentes ad-hoc, que pueda ser formado rápidamente cuando es necesario. Varias son las empresas que crean equipos tipo swat para responder ante incidentes específicos como son las infecciones por virus. Para ello, utilizan alertas a través de pagers y convocan reuniones de respuesta a incidentes de los diversos grupos funcionales designados con ese fin. Se establecen planes de acción y comunicación, para hacer frente a la amenaza en cuestión. Muchas de estas empresas no tiene métodos formales para mantener un equipo de respuesta a incidentes que vayan más allá de conocer quienes son los participantes clave y quién responde a qué tipos de incidentes.
Organización
El éxito de la gestión de un equipo de respuesta a incidentes está directamente relacionado con la organización del mismo. De esta forma, hay que tener normas y procedimientos por escrito y asignar responsabili
dades desde el principio. Asimismo, hay que determinar qué equipo será necesario, donde almacenarlo y como proteger la función de respuesta a incidentes. No es conveniente que personas no autorizadas accedan a información que un equipo de respuesta a incidentes podría detectar durante una respuesta. Nada de esto produce resultados si el plan simplemente permanece inactivo. Hay que realizar ejercicios y sesiones de entrenamiento frecuentes, en especial para los equipos ad-hoc y conviene recordar que es un proceso que hay que realizar bien, pero esperando que no haya que ponerlo en práctica nunca.
