Pasar al contenido principal

DFIR, Análisis Forense Digital y Respuesta a Incidentes

¿Qué es?

DFIR es el acrónimo en inglés de Digital Forensics Incident Response. Dentro de la informática forense existe la rama conocida como respuesta a incidentes (Incident Response) y la disciplina conocida como análisis forense digital (Digital Forensics). Los profesionales especializados en ambas disciplinas tienen como objetivo principal responder, de una forma rápida y efectiva, a un incidente de ciberseguridad de modo que tenga el menor impacto posible en las organizaciones.

Estos profesionales especializados en DFIR identifican, investigan y remedian los efectos de un ciberataque, identificando el vector de entrada a la organización, su alcance dentro de los sistemas de la empresa, si se ha producido exfiltración de información, etc.

¿Qué beneficios aporta un equipo de DFIR?

Contar con un equipo profesional en DFIR antes o durante la resolución de un incidente de seguridad aporta los siguientes beneficios:

  • Ayuda a crear procedimientos y medidas de seguridad que preparen a la organización frente a un posible incidente de seguridad antes de que suceda, contribuyendo así a la resiliencia de esta.
  • Garantiza un asesoramiento profesional, técnico y legal, durante un incidente de seguridad.
  • Permite reducir el tiempo de respuesta frente a un incidente de ciberseguridad.
  • Permite reducir el impacto de un ataque en la organización al contar con experiencia en este tipo de actuaciones.
  • Garantiza un correcto análisis de las evidencias digitales y un correcto plan de mitigación de la amenaza.
  • Ayuda a la elaboración de mecanismos de protección contra amenazas similares una vez superado el incidente de seguridad.

Respuesta a un incidente. Metodología de trabajo

El equipo de respuesta aplica una metodología de trabajo, cuyos puntos clave son los siguientes:

  • Detección: Consiste en recopilar eventos, analizarlos y determinar si se está produciendo un incidente de ciberseguridad.
  • Análisis: determinar el tipo de incidente, identificar los sistemas afectados, evaluar el impacto potencial, la criticidad y un plan para solucionarlo.
  • Contención: Actuar rápido y con eficacia aplicando medidas para limitar el impacto del incidente en el negocio. Algunos ejemplos de acciones son cambiar un equipo a otra vlan, aplicar filtros en el firewall, etc.
  • Erradicación: Se aplican medidas para eliminar la amenaza. Algunos ejemplos de acciones son eliminar ficheros maliciosos, aplicar actualizaciones de seguridad, etc.
  • Recuperación: Contempla recobrar la actividad normal de la organización. Algunos ejemplos de acciones son restaurar sistemas, cambios de contraseñas, etc.
  • Lecciones aprendidas: A través de todas las acciones anteriores se pretende responder a las siguientes preguntas: ¿Quién?, ¿Qué?, ¿Cuándo?, ¿Dónde?, ¿Por qué?, ¿Cómo? con el objetivo de prevenir que vuelva a suceder. Esto puede derivar en aplicar medidas de seguridad adicionales para seguridad los sistemas, dejar de utilizar una tecnología obsoleta, mejorar los procedimientos aplicados, etc.

¿Dónde recibir asesoramiento o contratar los servicios de un equipo de respuesta a incidentes?

Desde el BCSC, se pone a disposición de las empresas y la ciudadanía el “Libro Blanco de la Ciberseguridad en Euskadi” en el que se incluye el catálogo de empresas de ciberseguridad, en el ámbito de Euskadi, que ofrecen este tipo de servicios.

Este Libro Blanco pretende servir de resumen o instantánea del mercado de la ciberseguridad en Euskadi, siendo un catálogo vivo, revisado y actualizado periódicamente, dada la constante evolución y el avance en la digitalización de los servicios y las oportunidades que se generan. 

BCSC Libro Blanco