CIS Control #19: Respuesta y gestión de incidentes

Proteger la información de la organización, así como su reputación, mediante el desarrollo e implementación de una infraestructura de respuesta a incidentes (por ejemplo, planes, roles definidos, capacitación, comunicaciones, supervisión administrativa) para descubrir rápidamente un ataque y luego contener efectivamente el daño, erradicando la presencia del atacante. y restaurar la integridad de la red y los sistemas.

Las organizaciones deben asumir que en algún momento tendrán que lidiar con un ataque que rompa con éxito sus defensas. Es por eso que necesitan tener un plan para responder y gestionar un incidente de este tipo. El plan debe incluir detalles sobre procedimientos, informes, recopilación de datos, responsabilidad de la gestión, protocolos legales y estrategia de comunicación. De esa manera, la organización podrá comprender, administrar y recuperarse. La falta de un plan de respuesta a incidentes podría resultar en que un ataque no sea detectado o en una respuesta que no sea efectiva.

Recomendaciones:

  • Asegúrese de que se hayan escrito procedimientos de respuesta a incidentes que incluyan una definición de los roles del personal para el manejo de incidentes. Los procedimientos deben definir las fases del manejo de incidentes.
  • Asigne títulos de trabajo y deberes para manejar incidentes informáticos y de red a personas específicas.
  • Definir la voluntad del personal de administración para apoyar el proceso de manejo de incidentes actuando en roles clave de toma de decisiones.

Herramientas que pueden ayudar

Si bien este control habla fundamentalmente de generar procedimientos y asignar recursos idóneos frente a un eventual problema de ciberseguridad. Existen herramientas fuertemente enfocadas a poder detectar y hacer seguimiento a estos eventos. Los EDR (Endpoint detection and response) o XDR (Extended detection and response) presenta una gran ayuda para enfrentar esta problemática, obviamente la planificación, los procedimientos y la asignación de recursos son el pilar fundamental.

  1. Sophos

Sophos XDR va más allá del endpoint y el servidor y se sirve del firewall, el correo electrónico y otras fuentes de datos, Obteniendo una visión holística de la posición de ciberseguridad de la compañía con capacidad de profundizar en detalles granulares cuando sea necesario. Esto trae como beneficio mayor visibilidad y contexto. Gracias a los datos que cada producto aporta a Sophos Data Lake, podrá encontrar rápidamente información crítica y asegurarse de que dispone de la visión más completa de su red.

  1. Check Point

A través de SandBlast Agent de Check Point, las organizaciones podrán mejorar su visibilidad, Investigar rápidamente, automatizar las respuestas y buscar amenazas contextualizadas. Adicionalmente se puede integrar con la solución de EPP (Endpoint protection platforms) que tiene como objetivo brindar protección a nivel de dispositivos, ya que identifica archivos maliciosos, detecta actividad potencialmente maliciosa y proporciona herramientas para la investigación y la respuesta a incidentes.

  1. Netskope

La plataforma nube de Netskope permite la centralización de eventos e incidentes de seguridad relacionados al consumo de servicios en Internet y nube en una consola de administración unificada, facilitando el análisis, detección, investigación y remediación de incidentes de seguridad a través de tecnologías de analítica avanzada. Adicionalmente, la plataforma permite la definición de un workflow para la gestión y remediación de incidentes de acuerdo al proceso de respuesta a incidentes de cada organización.