¿Qué es un Playbook de respuesta incidente?

Estimados lectores, luego de algunas semanas con poca interacción me he dado un tiempo de poder escribir, en esta nueva entrega me gustaría referirme a un concepto que se está hablando mucho pero quizás no se entiende bien de qué se trata, o cómo puede ayudar a las organizaciones.

Antes de desarrollar el tema quizás usted no conoce que es una respuesta a incidente, según varonis – La respuesta a incidentes es el arte de la limpieza y la recuperación cuando descubre una violación de la ciberseguridad. También es posible que estas infracciones se denominan incidentes de TI, incidentes de seguridad o incidentes informáticos, pero como quiera que se llamen, necesita un plan y un equipo dedicado a gestionar el incidente y a minimizar los daños y el coste de la recuperación.-

En el diccionario Inglés Playbook, representa: an instruction book put together by a coaching staff, as in football, diagraming the various plays to be used.

En español es, un libro de instrucciones elaborado por un cuerpo técnico, como en el fútbol, en el que se describen las distintas jugadas que se van a utilizar, lo cual tiene mucho sentido, si consideramos la respuesta a incidentes como un conjunto de acciones a realizar, las cuales por cierto deben estar en perfecta sincronización dentro de la organización.

Según SecurityIntellegence.com – Por qué su SOC necesita un libro de seguridad –

Los jugadores en el campo entienden que el juego es un ciclo constante de defensa, ataque y transición. Nadie sabe más que los defensores de primera línea qué es lo que amenaza a la empresa, y por eso los analistas elaboran los libros de texto. Un SOC con un libro de jugadas tiene la ventaja de poder centrarse solo en las alertas que importan-

Según incidenteresonse.com – Todas las organizaciones tienen planes para diferentes incidentes que podrían afectar la resistencia del negocio a ellos si no están preparados. El propósito de un playbook es proporcionar a todos los miembros de una organización una clara comprensión de sus responsabilidades respecto de las normas de ciberseguridad y las prácticas aceptadas antes, durante y después de un incidente de seguridad.

Una vez que el equipo de respuesta a incidentes está definido y es consciente de su posición, es necesario poner en marcha los pasos clave de acción de un incidente de ciberseguridad. Estos incluyen

  • Detección de incidentes
  • Acciones de respuesta
  • Comunicación

Según Sans – A medida que los ciberataques se hacen más sofisticados, muchas organizaciones invierten más en la detección de incidentes y en las capacidades de respuesta. Las tecnologías de monitorización y correlación de eventos y las operaciones de seguridad suelen estar vinculadas a las responsabilidades de gestión de incidentes, pero el número de variaciones de ataques es asombroso, y muchas organizaciones están luchando por desarrollar procesos de detección y respuesta de incidentes que funcionen en diferentes situaciones. Al crear un playbook más inteligente, estará mejor equipado para detectar y responder de forma más eficaz en una serie de escenarios.

Como ven la es casi unánime, en distintos organismos internacionales y portales la necesidad de al menos contar Playbook para los casos más conocidos de Ciberataques.

¿Qué amenazas existen, que se puedan materializar en un Incidente?

En este momento da para un post completo es por esto que los invito a conocer la taxonomía de enisa:https://www.enisa.europa.eu/publications/reference-incident-classification-taxonomy

¿Qué fases tiene un playbook? “Se lo explico en simple”:

Título (Que Ciberataque) y objetivo ( De qué nos protege )

  1. Preparación: “Todo lo necesario para ejecutar el playbook”
  2. Identificación: “Recopilación y análisis de toda la información relativa al incidente”
  3. Contención: “Acciones inmediata para contener el incidente ej: Aislar de la red el equipo”
  4. Remedio: “Acciones que reparar el daño y eviten su repetición”
  5. Recuperación: “Acciones para restablecer el servicio”
  6. Repercusiones: “Debería de redactarse un informe de crisis que será distribuido entre todos los stakeholders”
  7. Mejora continua: “Como respondemos mejor”

¿Qué playbook necesita mi empresa?, básicamente deben conversar con su matriz de riesgos que contemple Ciber-riesgos y esté acorde al giro del negocio.

Como generalidad estos son algunos Playbook que al 2019 las organizaciones deberían contar son:

Fuente: https://www.sites.oas.org/cyber/ES/Paginas/Documents.aspx

Conclusiones, si bien los playbook no pueden prevenir situaciones poco esperables o ataques nuevos, son un interesante punto de partida para evitar “decisiones apresuradas” cuando suceden incidentes de seguridad de la información sin líneas de acciones, teniendo como base aún protocolo establecido pueden mejorar las acciones y los tiempos de respuestas, uno de los grandes errores es pensar que su empresa no será víctima de un incidente, en algún momento pasara, es inevitable que los incidentes sucedan, distintos es que se materialicen y el atacante consiga su objetivo, lo que cambia la aguja es cómo reaccionamos cuando suceden y cómo mejoramos para evitar nuevos incidentes sobre temas conocidos.

¿Y usted aún no tiene un playbook?

DESCARGAR PLANTILLA

Deja un comentario