Definición de un plan de respuesta a incidentes

Todos los miembros del entorno de TI deben saber cómo actuar en caso de incidente. El CSIRT
realizará la mayoría de las acciones en respuesta a un incidente, pero todo el personal de TI
debe saber cómo informar de incidentes internamente. Los usuarios finales deben informar de
cualquier actividad sospechosa al personal de TI directamente o a través de un personal de
asistencia, no directamente al CSIRT.

Cada miembro del equipo debe revisar el plan de respuesta a incidentes detalladamente. El
hecho de que el plan sea fácilmente accesible para todo el personal de TI ayudará a garantizar
que, cuando se produzca un incidente, se seguirán los procedimientos correctos.

Para elaborar un plan satisfactorio de respuesta a incidentes se deben seguir estos pasos:
 Realizar una evaluación inicial.
 Comunicar el incidente.
 Contener el daño y minimizar el riesgo.
 Identificar el tipo y la gravedad del ataque.
 Proteger las pruebas.
 Notificar a los organismos externos, si corresponde.
 Recuperar los sistemas.
 Compilar y organizar la documentación del incidente.
 Valorar los daños y costos del incidente.
 Revisar las directivas de respuesta y actualización.

Estos pasos no son puramente secuenciales, sino que se suceden a lo largo del incidente. Por
ejemplo, la documentación comienza al principio y continúa durante todo el ciclo de vida del
incidente; las comunicaciones también se producen durante todo el incidente.
Algunos aspectos del proceso se desarrollan junto a otros. Por ejemplo, como parte de la
evaluación inicial, se hará una idea de la naturaleza general del ataque. Es importante usar esta
información para contener el daño y minimizar el riesgo tan pronto como sea posible. Si actúa
con rapidez, podrá ahorrar tiempo y dinero, y salvar la reputación de la organización.
No obstante, hasta que conozca mejor el tipo y la gravedad del ataque, no podrá contener el
daño ni minimizar el riesgo de forma realmente efectiva. Una respuesta excesiva podría causar
aún más daño que el ataque inicial. Al llevar a cabo estos pasos de manera conjunta, obtendrá
la mejor unión entre acciones rápidas y efectivas.
Nota: es muy importante que pruebe a conciencia el proceso de respuesta a incidentes antes de
que se produzca uno. De lo contrario, no puede estar seguro de que las medidas que ha
desarrollado serán efectivas al responder a los incidentes.

Evaluación inicial
Muchas actividades podrían indicar un posible ataque a su organización. Por ejemplo, cuando
un administrador de red realiza labores de mantenimiento del sistema, puede parecer que
alguien está iniciando alguna forma de ataque. En otros casos, un sistema mal configurado
puede llevar a varios falsos positivos en el sistema de detección de intrusiones, lo que dificulta la
identificación de los verdaderos incidentes.
Como parte de su evaluación inicial, debe realizar las siguientes acciones:
  Tomar medidas para determinar si está tratando con un incidente verdadero o un falso
positivo.
 Hacerse una idea general del tipo y la gravedad del ataque. Debe reunir al menos
suficiente información para su investigación adicional y para empezar a contener los
daños y minimizar el riesgo.
 Registrar las acciones minuciosamente. Estos registros se usarán más adelante para
documentar el incidente (ya sea real o falso).

Nota: debe evitar los falsos positivos siempre que sea posible; no obstante, siempre es
preferible actuar sobre un falso positivo que no hacerlo sobre un verdadero incidente. La
evaluación inicial debe, por lo tanto, ser tan breve como sea posible a la vez que se eliminan los
falsos positivos obvios.

Comunicación del incidente

Cuando sospeche que hay un incidente de seguridad, debe comunicar rápidamente la infracción
al resto del CSIRT principal. El coordinador de incidentes, junto con el resto del equipo, debe
identificar rápidamente con quién debe contactar fuera del CSIRT principal. Así se garantiza que
se puede mantener un control y una coordinación de incidentes adecuada, al tiempo que se
minimizan los daños.
Tenga en cuenta que los daños pueden producirse de muchas formas y que un titular en el
periódico que describa una infracción de seguridad puede ser mucho más destructivo que
muchas intrusiones en el sistema. Por este motivo y para evitar que los atacantes estén avisados,
sólo se debe informar a aquellos implicados en la respuesta a incidentes hasta que el incidente
esté totalmente controlado. Basándose en cada situación concreta, el equipo determinará a
quién se debe informar acerca del incidente. Podría tratarse de cualquiera, desde personas
concretas hasta toda la compañía y los clientes externos. La comunicación externa debe estar
coordinada con el representante legal.