¿Qué es la respuesta a incidentes?
Explora cómo una respuesta a incidentes eficaz ayuda a las organizaciones a detectar, abordar y detener ciberataques.
Definición de la respuesta a incidentes
Antes de definir la respuesta a incidentes es importante comprender qué es un incidente. En TI hay tres términos que a veces se usan indistintamente, pero que significan cosas diferentes:
- Un evento es una acción inocua que ocurre frecuentemente, como crear un archivo, eliminar una carpeta o abrir un correo electrónico. Por sí solo, un evento no suele ser indicativo de una vulneración; sin embargo, en conjunto con otros eventos puede ser señal de una amenaza.
- Una alerta es una notificación desencadenada por un evento, sea o no una amenaza.
- Un incidente es un grupo de alertas en correlación que las personas o herramientas de automatización han considerado una posible amenaza genuina. Por sí solas, es posible que las alertas no parezcan amenazas graves; sin embargo, en conjunto indican una posible vulneración.
La respuesta a incidentes son las acciones que toma una organización cuando considera que se han vulnerado sus sistemas de TI o datos. Por ejemplo, los profesionales de seguridad tomarán medidas si detectan pruebas de la existencia de un usuario no autorizado, malware o errores en las medidas de seguridad.
Los objetivos de la respuesta son eliminar el ciberataque lo antes posible; recuperarse del ataque; notificar a los clientes o agencias de la administración pública según lo requieran las leyes regionales, y descubrir cómo reducir el riesgo de una vulneración similar en el futuro.
¿Cómo funciona la respuesta a incidentes?
La respuesta a incidentes suele comenzar cuando un equipo de seguridad obtiene una alerta plausible de un sistema de administración de eventos e información de seguridad (SIEM).
Los miembros del equipo deben comprobar que el evento puede considerarse un incidente y, entonces, aislar los sistemas infectados y eliminar la amenaza. Si el incidente es grave o necesita mucho tiempo para resolverse, las organizaciones podrían tener que restaurar datos desde una copia de seguridad, afrontar un rescate o notificar a los clientes que se ha producido una vulneración de sus datos.
Por este motivo, suele haber personas ajenas al equipo de ciberseguridad implicadas en la respuesta. Los expertos en privacidad, abogados y responsables de la toma de decisiones empresariales proporcionarán su ayuda para determinar el enfoque de la organización frente a un incidente y sus consecuencias.
Tipos de incidentes de seguridad
Los atacantes intentan acceder a los datos de una empresa o vulnerar sus sistemas y operaciones empresariales de varias maneras. A continuación, se describen algunas de las más frecuentes:
-
Suplantación de identidad (phishing)
El phishing es un tipo de ingeniería social en el que el atacante utiliza correo electrónico, mensajes de texto o una llamada telefónica para hacerse pasar por una marca o persona de buena reputación. Los ataques de phishing habituales intentan inducir a los destinatarios a descargar malware o proporcionar su contraseña. Estos ataques aprovechan la confianza de las personas y utilizan técnicas psicológicas como el miedo para hacer que actúen. Muchos de estos ataques no tienen un objetivo fijo, sino que se dirigen a miles de personas con la expectativa de que al menos una responda. Sin embargo, existe una versión más sofisticada llamada phishing de objetivo definido, el cual usa investigaciones en profundidad para crear un mensaje personalizado que tiene como objetivo persuadir a una persona específica.
-
Malware
El malware hace referencia a cualquier software diseñado para dañar un sistema informático o provocar una filtración de datos. Adopta distintas formas, entre las que se incluyen virus, ransomware, spyware y caballos de Troya. Los usuarios malintencionados aprovechan vulnerabilidades en el hardware y el software para instalar malware, o convencen a un empleado para que lo haga por ellos mediante técnicas de ingeniería social.
-
Ransomware
En un ataque de ransomware, los usuarios malintencionados usan malware para cifrar datos y sistemas críticos y, entonces, amenazan con hacer públicos los datos o destruirlos si la víctima no paga un rescate.
-
Denegación de servicio
En un ataque de denegación de servicio (ataque DDoS), un actor de amenaza sobrecarga el tráfico de una red o sistema hasta que se ralentiza o se bloquea. Normalmente, los atacantes se dirigen a compañías prominentes como bancos o administraciones públicas con el objetivo de hacerles gastar tiempo y dinero, pero las víctimas de este tipo de ataque pueden ser organizaciones de cualquier tamaño.
-
Intermediario
Otro método que los ciberdelincuentes usan para robar datos personales es infiltrarse en una conversación online entre dos personas que creen estar comunicándose de forma privada. Interceptan los mensajes, los copian o modifican, y se los envían al destinatario previsto para manipular a uno de los participantes para que les proporcione datos valiosos.
-
Amenaza interna
La mayoría de los ataques están dirigidos por personas externas a la organización, pero los equipos de seguridad también tienen que mantenerse alerta en caso de amenazas internas. Los empleados y otras personas que dispongan de acceso legítimo a recursos restringidos pueden filtrar datos confidenciales accidentalmente o, en algunos casos, de forma intencionada.
-
Acceso no autorizado
Muchas vulneraciones de datos empiezan por el robo de credenciales de cuenta. Los usuarios malintencionados pueden obtener contraseñas a través de una campaña de suplantación de identidad o al adivinar una contraseña usada frecuentemente; sea como sea, una vez obtengan acceso a un sistema pueden instalar malware en él, hacer un reconocimiento de la red o aumentar sus privilegios para obtener acceso a sistemas y datos aún más confidenciales.
¿Qué es un plan de respuesta a incidentes?
La respuesta a un incidente requiere que un equipo colabore de forma eficiente y eficaz para eliminar la amenaza y cumplir con los requisitos normativos. Es fácil ponerse nervioso y actuar de forma errónea en estas situaciones de elevado estrés, así que muchas empresas desarrollan un plan de respuesta a incidentes. El plan define roles y responsabilidades e incluye los pasos necesarios para resolver y documentar un incidente y comunicarlo de forma adecuada.
Importancia de un plan de respuesta a incidentes
Un ataque significativo no solo daña las operaciones de una organización, sino también la reputación de la empresa entre los clientes y la comunidad y, además, puede tener ramificaciones legales. Todo influye en el coste general del ataque, incluidas la rapidez de respuesta del equipo de seguridad y la forma de comunicar sobre el ataque por parte de los ejecutivos.
Las empresas que ocultan el daño a los clientes y administraciones públicas o no se toman una amenaza lo suficientemente en serio podrían incumplir las normativas. Estos tipos de errores son más frecuentes cuando los participantes no disponen de un plan. En caliente, existe el riesgo de que las personas tomen decisiones precipitadas guiadas por el miedo que acaben perjudicando a la organización.
Un plan bien concebido informa a las personas sobre qué deberían hacer en cada fase de un ataque para que no tengan que improvisar. Tras el ataque, si el público tiene preguntas, la organización podrá exponer exactamente cómo respondió al ataque y tranquilizar a los clientes de que se tomó el incidente en serio e implementó los pasos necesarios para prevenir un resultado peor.
Pasos de la respuesta a incidentes
Hay más de una forma de abordar la respuesta a incidentes, y muchas organizaciones se apoyan en una organización de estándares de seguridad que guía su enfoque. SysAdmin Audit Network Security (SANS) es una organización privada que ofrece un marco de respuesta en seis pasos, definido a continuación. Muchas organizaciones también adoptan el marco de recuperación de incidentes del National Institute of Standards and Technology (NIST).
- Preparación: Antes de que ocurra un incidente, es importante reducir las vulnerabilidades y definir las directivas y procedimientos de seguridad. En la fase de preparación, las organizaciones realizan una evaluación de riesgos para determinar dónde tienen vulnerabilidades y clasificar los recursos por orden de prioridad. Esta fase incluye la escritura y refinado de procedimientos de seguridad, la definición de roles y responsabilidades y la actualización de sistemas para reducir el riesgo. La mayoría de las organizaciones vuelven a visitar esta etapa con regularidad para aplicar mejoras en directivas, procedimientos y sistemas a medida que aprenden de su experiencia o cambian las tecnologías.
- Identificación de amenazas: a diario, un equipo de seguridad puede recibir miles de alertas que indiquen actividad sospechosa. Algunas de ellas pueden ser falsos positivos o no llegar al nivel de un incidente. Una vez identificado un incidente, el equipo examina en profundidad la naturaleza de la vulneración y documenta sus averiguaciones, incluidos el origen de la vulneración, el tipo de ataque y los objetivos del atacante. En esta etapa, el equipo también necesita informar a las partes interesadas y comunicar los siguientes pasos.
- Contención de amenazas: La siguiente prioridad es contener la amenaza lo más rápido posible. Cuanto más tiempo se les permita a los usuarios malintencionados tener acceso, más daño pueden realizar. El equipo de seguridad trabaja para aislar rápidamente las aplicaciones o sistemas víctimas de un ataque del resto de las redes. Esto ayuda a evitar que los atacantes accedan a otras partes de la empresa.
- Eliminación de amenazas: Una vez completada la contención, el equipo expulsa al atacante y elimina el malware que haya afectado a los sistemas y recursos. Esto podría implicar la desconexión de los sistemas. El equipo también mantiene informadas de su progreso a las partes interesadas.
- Recuperación y restauración: La recuperación de un incidente puede llevar varias horas. Una vez eliminada la amenaza, el equipo restaura los sistemas, recupera los datos de copias de seguridad y supervisa las áreas afectadas para asegurarse de que el atacante no pueda volver.
- Comentarios y mejoras: Una vez resuelto el incidente, el equipo revisa los sucesos e identifica qué mejoras se podrían implementar en el proceso. Aprender de esta fase ayuda al equipo a mejorar las defensas de la organización.
¿Qué es un equipo de respuesta a incidentes?
Un equipo de respuesta a incidentes, también llamado equipo de respuesta a incidentes de seguridad informática (CSIRT), equipo de respuesta a incidentes cibernéticos (CIRT) o equipo de respuesta a emergencias informáticas (CERT), incluye un grupo multidisciplinar de personas de la organización responsables de ejecutar el plan de respuesta a incidentes. Esto no solo incluye a las personas que eliminan la amenaza, sino también a quienes toman decisiones empresariales o legales relacionadas con un incidente. Un equipo típico incluye los siguientes miembros:
Un responsable de respuesta a incidentes, normalmente el director de TI, supervisa todas las fases de la respuesta y mantiene informadas a las partes interesadas internas.
Los analistas de seguridad investigan el incidente para intentar comprender qué está pasando. También documentan sus averiguaciones y recopilan pruebas forenses.
Los investigadores de amenazas buscan fuera de la organización para obtener inteligencia que proporcione contexto adicional.
Alguien del equipo directivo, como un director de seguridad de la información o director de información, ofrece orientación y actúa como enlace con otros ejecutivos.
Los especialistas en recursos humanos ayudan a administrar amenazas internas.
Un departamento jurídico ayuda al equipo a abordar problemas de responsabilidad y se asegura de que se recopilen pruebas forenses.
- Los especialistas en relaciones públicas coordinan una comunicación externa veraz para informar a los medios, clientes y otras partes interesadas.
Un equipo de respuesta a incidentes puede ser un subgrupo de un centro de operaciones de seguridad (SOC), que se ocupa de las operaciones de seguridad más allá de la respuesta a incidentes.
Automatización de la respuesta a incidentes
En la mayoría de las organizaciones, las redes y soluciones de seguridad generan muchas más alertas de seguridad que las que un equipo de respuesta a incidentes puede abarcar de forma realista. Para ayudarles a concentrase en las verdaderas amenazas, muchas empresas implementan una automatización de la respuesta a incidentes. La automatización utiliza IA y aprendizaje automático para evaluar las prioridades de las alertas, identificar incidentes y eliminar amenazas de raíz mediante la ejecución de un cuaderno de estrategias de respuesta basado en scripts de programación.
La automatización y respuesta de la orquestación de seguridad (SOAR) es una categoría de herramientas de seguridad que las empresas usan para automatizar la respuesta a incidentes. Estas soluciones ofrecen las siguientes funcionalidades:
Correlación de los datos de varios puntos de conexión y soluciones de seguridad para identificar incidentes de los que las personas se puedan encargar a continuación.
Ejecución de un cuaderno de estrategias programado previamente para aislar y abordar tipos de incidente conocidos.
Generación de una línea de tiempo de investigación que incluye acciones, decisiones y pruebas forenses que puedan usarse en el análisis.
Recopilación de inteligencia externa relevante para los análisis realizados por personas.
Cómo implementar un plan de respuesta a incidentes
El desarrollo de un plan de respuesta a incidentes puede resultar abrumador, pero puede reducir significativamente el riesgo de que la empresa se encuentre desprevenida ante un incidente a gran escala. Los pasos para comenzar son:
-
Identificar y clasificar los recursos por orden de prioridad
El primer paso de un plan de respuesta a incidentes es saber qué hay que proteger. Documenta los datos críticos para la organización, dónde residen y su nivel de importancia para la empresa.
-
Determinar riesgos potenciales
Cada organización tiene riesgos diferentes. Familiarízate con las mayores vulnerabilidades de la organización y evalúa de qué formas podría aprovecharlas un atacante.
-
Desarrollar procedimientos de respuesta
Durante la situación de estrés que provoca un incidente, es importante disponer de procedimientos claros para garantizar que este se solucione de forma rápida y eficaz. Comienza por definir qué se considera como incidente y, a continuación, determina los pasos que el equipo debería seguir para detectarlo, aislarlo y recuperarse, incluidos los procedimientos de documentación de decisiones y recopilación de pruebas.
-
Crear un equipo de respuesta a incidentes
Crea un equipo multidisciplinar responsable de comprender los procedimientos de respuesta y movilizarse si se produce un incidente. Asegúrate de definir los roles claramente y ten en cuenta los roles no técnicos que ayuden en la toma de decisiones relacionada con la comunicación y la responsabilidad. Incluye a alguien del equipo ejecutivo que interceda por el equipo y sus necesidades en los niveles más altos de la empresa.
-
Definir el plan de comunicación
Un plan de comunicación determinará el momento y la forma idóneos de informar a las partes internas y externas de la organización sobre lo que está ocurriendo. Considera detenidamente varios escenarios para ayudarte a determinar bajo qué circunstancias es necesario informar al equipo ejecutivo, a la organización al completo, a los clientes y a los medios u otras partes interesadas externas.
-
Formar a los empleados
Los usuarios malintencionados tienen como objetivo a empleados de todos los niveles de la organización, así que es importante que todo el mundo comprenda el plan de respuesta y sepa qué hacer si sospechan que han sido víctimas de un ataque. Pon a prueba a los empleados periódicamente para confirmar que saben reconocer correos de phishing, y facilita la notificación al equipo de respuesta a incidentes si hacen clic accidentalmente en un vínculo malintencionado o abren un archivo adjunto infectado.
Soluciones de respuesta a incidentes
Preparase para un incidente a gran escala es una parte importante de la protección ante amenazas de la organización. Configurar un equipo de respuesta a incidentes interno te preparará para un posible ataque en el que seas víctima de un usuario malintencionado.
Aprovecha soluciones SIEM y SOAR, como Microsoft Sentinel, que utilizan la automatización para ayudarte a identificar y responder automáticamente a incidentes. Las organizaciones con menos recursos pueden potenciar sus equipos con un proveedor de servicios que se haga cargo de varias fases de la respuesta a incidentes. Tanto si contratas un equipo de respuesta a incidentes interno como uno externo, asegúrate de tener un plan.
Más información sobre Seguridad de Microsoft
Protección contra amenazas de Microsoft
Identifica y responde a incidentes en toda la organización con las últimas novedades en protección contra amenazas.
Microsoft Sentinel
Descubra amenazas sofisticadas y responda con decisión con una potente solución SIEM, impulsada por la nube y la IA.
Microsoft Defender XDR
Detenga los ataques en puntos de conexión, correos electrónicos, identidades, aplicaciones y datos.
Preguntas más frecuentes
-
La respuesta a incidentes comprende todas las actividades que realiza una organización cuando sospecha que se ha vulnerado su seguridad. El objetivo es aislar y eliminar a los atacantes de raíz lo más rápido posible, cumplir con las normativas de privacidad de datos y recuperarse de forma segura con el mínimo daño posible a la organización.
-
La respuesta a incidentes es responsabilidad de un equipo multifuncional. El equipo de TI suele estar a cargo de la identificación, aislamiento y recuperación de amenazas; sin embargo, la respuesta a incidentes no consiste solamente en buscar y eliminar a los usuarios malintencionados. Según el tipo de ataque, habrá que tomar decisiones empresariales, como la forma de afrontar un rescate. Los profesionales jurídicos y de relaciones públicas permiten garantizar que la organización cumpla con las leyes de privacidad de datos, incluidas las notificaciones pertinentes a clientes y administraciones públicas. Si es un empleado quien ha perpetrado la amenaza, el equipo de recursos humanos aconseja sobre las medidas más apropiadas.
-
CSIRT es otro nombre para un equipo de respuesta a incidentes. Incluye un equipo multidisciplinar de personas responsables de administrar todos los aspectos de la respuesta a incidentes, entre los que se incluyen detección, aislamiento y eliminación de la amenaza, recuperación, comunicación interna y externa, documentación y análisis forense.
-
La mayoría de las organizaciones utilizan una solución SIEM o SOAR que les ayuda a identificar amenazas y responder a ellas. Estas soluciones suelen agregar datos de varios sistemas y utilizan aprendizaje automático para identificar amenazas genuinas. También pueden automatizar la respuesta para algunos tipos de amenaza según cuadernos de estrategias programados previamente.
-
El ciclo de vida de la respuesta a incidentes consta de seis etapas:
- La preparación ocurre antes de que se identifique un incidente e incluye una definición de lo que la organización considera un incidente y todas las directivas y procedimientos necesarios para prevenir, detectar, eliminar y recuperarse de un ataque.
- La identificación de amenazas es un proceso que utiliza tanto analistas como automatización para identificar qué eventos son amenazas reales que necesitan solucionarse.
- La contención de amenazas es el conjunto de medidas que adopta un equipo para aislar la amenaza y evitar que infecte otras áreas de la empresa.
- La eliminación de amenazas consta de pasos para eliminar malware y expulsar a los atacantes de una organización.
- La recuperación y restauración incluyen el reinicio de sistemas y equipos y la restauración de los datos que se hayan perdido.
- Los comentarios y mejoras se refieren al proceso de aprendizaje del equipo a partir de la experiencia del incidente y la aplicación de esos conocimientos a directivas y procedimientos.
Seguir a Microsoft