Se trata de un conjunto de instrucciones para ayudar al personal de TI a detectar, responder y recuperarse de incidentes de seguridad de la red. Estos tipos de planes abordan problemas como el ciberdelito, la pérdida de datos y las interrupciones del servicio que amenazan el trabajo diario.
Un Plan de Respuesta ante Ciberincidentes ofrece un curso de acción para todos los incidentes importantes. Algunos incidentes provocan violaciones masivas de la red o de los datos que pueden afectar a una organización durante días o incluso meses. Cuando ocurre una interrupción significativa, la organización necesita un plan de respuesta a incidentes completo y detallado para ayudar al personal de TI a detener, contener y controlar el incidente rápidamente.
Una red nunca será completamente segura, por lo que se debe preparar no sólo la infraestructura sino también a los empleados para las crisis que surgirían de un posible ataque ya que si una red aún no se ha visto amenazada, con el crecimiento actual del número de ataques, lo estará. Ya sea una amenaza virtual (brechas de seguridad) o física (cortes de energía o desastres naturales), la pérdida de datos o funcionalidad puede ser paralizante. Un plan de respuesta a incidentes ayuda a reducir el riesgo y a prepararse para una variedad amplia de posibles eventos dañinos para la organización.
Habitualmente, dicho plan debe cubrir cinco pasos importantes:
- Preparación. Creando un plan sólido con normativas, pautas y entrenamiento del equipo.
- Detección. Mediante la monitorización de los eventos de seguridad.
- Triaje y análisis. Recopilando datos para su posterior análisis e identificación de los indicadores de compromiso.
- Contención y neutralización. En base a los indicadores de compromiso identificados se tomarán las medidas necesarias de limpieza y restauración.
- Adaptación e informes post-incidente. La documentación elaborada tras el incidente ayudará a implantar medidas preventivas, así como adaptar el equipo y establecer nuevas normas en caso de que fueran necesarias.
En un contexto de riesgos y crecimiento de ciberincidentes en volumen e impacto, los servicios gestionados de ciberseguridad son un elemento básico en la gestión sostenible de las empresas. Estos servicios se pueden prestar desde centros especializados CERT (Computer Emergency Response Team), CSIRT (Computer Security Incident Response Team) o en su nombre más genérico SOC (Security Operation Center).
Disponer por lo tanto de un Plan de Respuesta ante Ciberincidentes garantiza que, en caso de una infracción de seguridad, se cuente con el personal y los procedimientos adecuados para hacer frente a una amenaza de forma eficaz y asegura que se pueda llevar a cabo una investigación estructurada para proporcionar una respuesta específica para contener y remediar la amenaza. También es crucial para que, bajo la presión de un incidente, se puedan tomar las decisiones correctas para volver a controlar la situación. Un incidente de ciberseguridad puede ser una situación muy abrumadora; si la respuesta no se lleva a cabo de manera orquestada, el resultado potencial podría resultar en un daño severo a la organización.
