Se producen incidentes de seguridad. No es una cuestión de ‘si’ sino de ‘cuándo’. Hay productos y procedimientos de seguridad que se implementaron para optimizar el proceso de IR, por lo que desde el punto de vista del ‘profesional de la seguridad’, las cosas se solucionan.
Sin embargo, muchos profesionales de seguridad que están haciendo un excelente trabajo en el manejo de incidentes encuentran que comunicar de manera efectiva el proceso en curso con su gerencia es una tarea mucho más desafiante.
Es una pequeña sorpresa: los gerentes generalmente no son expertos en seguridad y realmente no se preocupan por los bits y bytes en los que domina el profesional de la seguridad. Cynet aborda esta brecha con la plantilla PPT Informes de IR para la gestión, que brinda a los CISO y CIO una herramienta clara e intuitiva para informar tanto el proceso de IR en curso como su conclusión.
La plantilla de IR para la gestión permite que los CISO y los CIO se comuniquen con los dos puntos clave que preocupan a la gestión: la seguridad de que el incidente está bajo control y una comprensión clara de las implicaciones y la causa raíz.
El control es un aspecto clave de los procesos de IR, en el sentido de que, en un momento dado, hay total transparencia de lo que se aborda, lo que se sabe y debe remediarse, y qué investigación adicional se necesita para revelar partes del ataque que son aún desconocido.
La gerencia no piensa en términos de troyanos, exploits y movimientos laterales, sino que piensa en términos de productividad comercial: tiempo de inactividad, horas de trabajo, pérdida de datos confidenciales.
Mapear una descripción de alto nivel de la ruta del ataque al daño resultante es fundamental para obtener la comprensión y la participación de la gerencia, especialmente si el proceso de RI implica un gasto adicional.
La plantilla sigue el marco SANS NIST IR y comprende las siguientes etapas:
Identificación
La presencia del atacante se detecta sin lugar a dudas. ¿Se realizó la detección internamente o por un tercero, qué tan maduro es el ataque (en términos de su progreso a lo largo de la cadena de eliminación), cuál es el riesgo estimado y se tomarán los siguientes pasos con recursos internos o si es necesario? contratar a un proveedor de servicios?
Contención
Primeros auxilios para detener el sangrado inmediato antes de cualquier investigación adicional, la causa raíz del ataque, la cantidad de entidades desconectadas (puntos finales, servidores, cuentas de usuario), el estado actual y los pasos a seguir.
Erradicación
Limpieza completa de toda la infraestructura y actividades maliciosas, un informe completo sobre la ruta del ataque y los objetivos asumidos, el impacto comercial general (horas-hombre, datos perdidos, implicaciones regulatorias y otros según el contexto variable)
Recuperación
Tasa de recuperación en términos de terminales, servidores, aplicaciones, cargas de trabajo en la nube y datos.
Lecciones aprendidas
Cuáles fueron los habilitadores del ataque (falta de tecnología de seguridad adecuada, prácticas laborales inseguras, etc.) y cómo se pueden reparar, y reflexión sobre las etapas anteriores a lo largo de la línea de tiempo del proceso de IR en busca de qué preservar y qué mejorar.
Naturalmente, no existe una solución única para todos en un incidente de seguridad. Por ejemplo, puede haber casos en los que la identificación y la contención se lleven a cabo casi instantáneamente, mientras que en otros casos la contención puede demorar más tiempo, lo que requiere varias presentaciones sobre su estado provisional. Por eso la plantilla es modular y se puede ajustar fácilmente a cualquier variante.
La comunicación con la gerencia no es agradable, sino una parte crítica del proceso de IR en sí. La plantilla PPT definitiva de Informes de RI para la gerencia permite que todos los que trabajan arduamente para llevar a cabo procesos de RI profesionales y eficientes en sus organizaciones hagan que sus esfuerzos y resultados sean claros para su gerencia.
Descargue la plantilla PPT Informe definitivo de IR para la gerencia aquí.
