Los volcados de datos, los ataques de ransomware, los skimmers de tarjetas y el malware en general son frecuentes en estos días, lo que significa que la planificación de la gestión de incidentes ya no es una cosa opcional.
No se trata de si ocurrirá un incidente sino de cuándo, y debido a la naturaleza hiperconectada de los entornos de IT actuales, las cargas de trabajo basadas en cloud son particularmente vulnerables.
Sin un proceso de respuesta establecido, una organización no podrá reaccionar adecuadamente ante amenazas de seguridad o problemas inesperados de infraestructura o aplicación.
Prepárate
Una de las cosas más importantes que deben hacer los equipos de IT al establecer un proceso de respuesta es prepararse para la inevitabilidad de que ocurra el incidente. Tenemos tres tareas dentro de este primer paso:
Formación
Tener a las personas adecuadas en el lugar adecuado es sólo la mitad de la ecuación cuando se trata de la respuesta a estos incidentes. Una empresa también necesita que esta gente esté bien preparada e informada.
Las organizaciones nativas cloud deben asegurarse de que sus empleados comprendan cómo navegar por la interfaz de su proveedor elegido para recopilar la información y reaccionar ante lo que encuentran. Esto también significa que los empleados deben conocer el plan de gestión de incidentes de la compañía y lo que se espera de ellos.
Documentación
Toda empresa de tecnología debe tener documentación sólida para operar de manera eficiente. Con el fin de apoyar a los empleados que podrían verse atrapados en la respuesta al incidente, esto significa crear y mantener runbooks precisos. Estos son un conjunto de operaciones y procedimientos rutinarios que los empleados pueden llevar a cabo cuando reaccionan a eventos predecibles en un entorno de producción.
Estos runbooks no se limitan a incidentes de seguridad, ya que también pueden guiar a los empleados a través de tareas como escalar bases de datos o reiniciar un proceso atascado.
Agregación
Los datos son clave cuando se trata de la capacidad del equipo de respuesta a incidentes para identificar lo que sucedió, cómo sucedió y por qué. Aunque la agregación de registros y el análisis pueden ser increíblemente caros, esta información es la columna vertebral de cualquier esfuerzo de identificación, clasificación y corrección que se llevará a cabo en los pasos posteriores.
Identificar
Antes de que los equipos puedan responder a un incidente, deben identificar cuándo está ocurriendo uno. Esto puede suceder de varias formas, pero generalmente requiere el reconocimiento de un comportamiento anormal. A menudo, este es un proceso manual que se maneja al revisar los informes de los usuarios o al revisar los datos de registro y análisis, pero la implementación de herramientas automatizadas es la única forma escalable de reconocer el comportamiento aberrante en entornos cloud grandes.
Coordinar
Una vez que se ha identificado el problema, el siguiente paso es organizarse. Antes de que algo se pueda solucionar, debe comprender la naturaleza y gravedad del problema y definir e interactuar con el equipo de respuesta. En este paso, el ingeniero de guardia o el empleado sería responsable de identificar la naturaleza del informe y realizar una evaluación iniciar de la gravedad antes de pasarlo a un miembro del equipo apropiado.
Establecer un equipo de respuesta
Muchas organizaciones nativas de la nube pueden ser lo suficientemente pequeñas como para involucrar al mismo conjunto de miembros del equipo para cada incidente. Pero cuanto más grande se hace una organización, más importante es identificar a los expertos relevantes para el problema que ocurrió.
Remediar
Con el incidente activo identificado y un equipo de respuesta establecido, debemos empezar a investigar y contener el problema. A medida que el equipo de respuesta investiga, se pueden requerir miembros y recursos adicionales del equipo para recopilar tanta información como sea posible.
Debido a la imprevisibilidad inherente de los incidentes, es difícil poner una línea de tiempo en este proceso. Mantener las líneas de comunicación abierta internamente para seguir el progreso y comprender el impacto general es una muy buena idea y casi una obligación.
Cuando se trata de ciberseguridad, como no pongamos en conocimiento del cliente el problema de una forma clara (dependiendo del alcance, claro) es la forma más rápida de perder a ese cliente. Es importante proporcionar una visión clara del incidente a medida que sucede y cómo remediarlo.
Revisar
Finalmente y no por ello menos importante, la piedra angular de cualquier proceso ágil de respuesta a incidentes en la nube es no volver a cometer el error aprendiendo del que ya hemos solucionado. Destacar lo que ha salido bien e identificar lo que se puede mejorar es una tarea crucial tras la solución del problema para entrenar al equipo de respuesta.