Cuando nos enfrentamos a un ataque o falla dentro del sistema, es importante saber cómo se solucionó el problema, esto con la finalidad de que sí, en un futuro se vuelve a sucitar el mismo problema, se pueda solucionar de la manera más rápida y eficaz posible. Por esta razón veremos qué es un manual de estrategias o playbook en ciberseguridad.
¿Qué es un manual de estrategia?
Un manual de estrategias o Playbook es una guía que contiene detalles sobre las acciones operativas, las herramientas que se utilizan y las acciones concretas que se deben seguir.
En general, en todo el TI existen estos manuales y contienen soluciones a problemas específicos a los que se enfrenta todo un equipo por primera vez.
Para el caso de la ciberseguridad, este manual de estrategias se utiliza para los momentos que hay un incidente de seguridad, en donde se hallará por escrito las acciones que debe seguir la persona que se esté enfrentando nuevamente a la misma falla o alguna similar.
¿Qué tipos de manuales de estrategia existen?
Hay una gran variedad de manuales de estrategias que existen y dependen de la necesidad de cada departamento de una organización.
Ejemplos de estos manuales de estrategias o Playbook son manuales de respuestas a incidentes, alertas de seguridad, fallas de configuración, etc.
Quizás el más común en TI y ciberseguridad es el de respuestas a incidentes, pues en este tipo de manuales se encuentra una serie de guías para la identificación rápida de un ataque, la contención del mismo, corrección de daños y recuperación pronta de las actividades.
Para notar de manera más ordenada cómo se recomienda construir un manual de estrategias, hablaremos de seis fases.
¿Cuáles son las fases que presenta un manual de estrategias de respuestas a incidentes?
- Fase uno, la preparación:
Toda organización siempre debe estar preparada para la mitigación de riesgos. Parte esta fase se habla de los procedimientos que se deben realizar para reducir el área de ataque ante agentes de amenaza, como lo son planes para el personal, la formación que se les da a cada uno de los usuarios, la manera de actuar o responsabilidades de cada miembro del equipo de seguridad, etc.
Es algo similar a la preparación para un siniestro natural, como un incendio. El equipo de brigadistas ya debe saber cómo actuar, en dónde se encuentran los extintores, las salidas de emergencia, así como la forma de actuar ante un incendio, la planeación de simulacros para prepararse, etc.. ¡Eso es estar preparado!
Aquí se utilizarán mucho las herramientas de ciberseguridad que existen.
- Fase dos, detección y análisis:
Como su nombre lo dice, esta fase indica los procesos tecnológicos y estrategias que se utilizan para detectar y analizar un ataque real, así como determinar su magnitud.
- Fase de contención.
Lo cierto es que al recibir un ataque, hablamos que ya se ha hecho algún daño a la organización, aunque sea mínimo.
Esta fase debe tener escrito los métodos a utilizar para reducir el impacto de un incidente de seguridad. ¿Cómo debe actuar el equipo de seguridad en estos momentos para minimizar el daño? Esto debe ser de gran prioridad en estos momentos, pues aquí se puede poner en riesgo la reputación de la organización, así como sus activos de mayor valor.
- Fase de erradicación y recuperación (Restauración de TI):
En esta fase se debe eliminar el ataque totalmente. Esta eliminación depende totalmente del tipo de ataque, podríamos hablar de la eliminación de un código malicioso, por ejemplo.
Al eliminar esta fase de erradicación, se comienza con la etapa de recuperar el entorno que fue atacado por un estado seguro, lo cuál también se le conoce como restauración de TI.
- Fase de actividades a posteriori del ataque
Aquí se habla de:
- Documentación del incidente
- Informe a directivos
- Aplicación de aprendizaje nuevo para evitar este ataque nuevamente
- Fase de coordinación
Esta fase, aunque cada organización tiene sus políticas de privacidad, habla de informar y compartir información durante todo el proceso.
Dicha fase permite una respuesta y resolución coordinada en todo momento.
¿Cuándo se debe modificar un manual de estrategias?
Un manual de estrategias se considera un libro vivo dentro de la organización, es decir, que se debe estar actualizando constantemente según sea necesario.
Particularmente, debes tener en cuenta que la versión de este manual se debe modificar cada vez que se encuentra una falla en las políticas o los procedimientos que se escriben en este manual.
Es común que se puedan modificar las políticas mismas de la industria, que se regule una nueva ley o alguna normativa que deba obligar a la modificación misma de este documento para que se configure a esas políticas de la organización.
Según la actualización de las tecnologías o de los nuevos métodos de ataques cibernéticos, se deberá actualizar nuestra manera de defensa en las organizaciones, por lo que se debería considerar la revisión y modificación del playbook cuando en puntos específicos para seguir mitigando riesgos.
0 comentarios