Crea y mantén un plan de comunicaciones para gestores de incidentes que incluya información de contacto, mecanismos de notificación de incidentes, un sistema de seguimiento de incidencias, una sala de crisis y un software de cifrado para las comunicaciones.

Conoce los vectores de ataque, como el malware en correos, los sitios web maliciosos, la suplantación de identidad, los medios extraíbles, la fuerza bruta y la actividad inusual, y usa herramientas de alerta, como los sistemas de detección y prevención de intrusiones (IDPSs), los SIEMs, los antivirus y antispam, y los registros. Para llevar a cabo análisis, esto debería incluir la elaboración de perfiles de sistemas de red, la comprensión de los comportamientos normales, la creación de políticas de retención de registros y la realización de correlaciones de eventos.

Identifica a los atacantes validando las direcciones IP de los hosts, usando bases de datos de incidentes, monitorizando los canales de comunicación de los atacantes e investigando a través de buscadores. El equipo de respuesta debe llevar a cabo la erradicación y la recuperación de forma gradual según la prioridad.

Determina cómo podría haber evitado la organización el ataque planteando preguntas como las siguientes: ¿Qué ha ocurrido? ¿Cuándo? y ¿Qué medidas tomó el equipo de respuesta que pudieron haber impedido la recuperación?

Los entornos de nube presentan retos únicos en lo que respecta a la respuesta a incidentes, debido a su naturaleza fragmentada y a su modelo de responsabilidad compartida. Una plantilla específica para la nube aborda problemas como la seguridad en entornos multicliente, las amenazas basadas en APIs y las complejidades de investigar incidentes en infraestructuras efímeras. Estas plantillas incorporan herramientas nativas de la nube para la monitorización y el análisis forense, definen procedimientos de coordinación con proveedores de servicios en la nube y establecen protocolos para preservar las pruebas en entornos dinámicos donde los recursos se pueden escalar o cancelar automáticamente.

Las plantillas tradicionales de respuesta a incidentes de seguridad informática se centran en la protección de endpoints y en la seguridad de redes en infraestructuras on-premise. Estas plantillas proporcionan procedimientos exhaustivos para gestionar infecciones de malware, intentos de acceso no autorizado y brechas de seguridad que afectan a estaciones de trabajo y servidores. Incluyen pasos detallados para aislar los sistemas afectados, recoger pruebas forenses de los discos duros y la memoria, y restaurar las operaciones manteniendo la cadena de custodia para posibles procedimientos legales.

Las plantillas diseñadas para responsables de ciberseguridad ponen el foco en la coordinación estratégica y la comunicación entre varios equipos y colaboradores. Estos marcos incluyen matrices de derivación para involucrar a la dirección ejecutiva, modelos para notificaciones normativas y procedimientos para gestionar las relaciones públicas durante incidentes de alto impacto. Proporcionan orientación sobre la asignación de recursos, la gestión de proveedores y la elaboración de informes posteriores a incidentes para los consejos directivos y los organismos reguladores, lo que permite a los gestores coordinar de forma eficaz las complejas tareas de respuesta.

Las plantillas de respuesta a incidentes en el sector sanitario abordan los retos únicos que plantea la protección de los datos de los pacientes mientras se mantienen los sistemas de atención crítica. Estas plantillas incorporan los requisitos de aviso de brecha de seguridad de la HIPAA, los procedimientos para gestionar ataques de ransomware en dispositivos médicos y los protocolos para mantener la atención al paciente en caso de interrupción de los sistemas. Incluyen directrices específicas para trabajar con proveedores de registros de salud electrónicos, coordinarse con intercambios de información sanitaria regionales y gestionar incidentes que puedan afectar a la seguridad de los pacientes.

La plantilla del Departamento de Tecnología de California proporciona un marco integral diseñado para agencias estatales que gestionan servicios públicos esenciales. Esta plantilla pone el acento en la coordinación entre agencias, los requisitos de transparencia pública y los procedimientos para proteger los datos de los ciudadanos. Incluye protocolos específicos para coordinarse con las oficinas estatales de gestión de emergencias, gestionar incidentes que afecten a varios departamentos y mantener la continuidad de los servicios públicos en caso de ciberataque.

La plantilla del NIH aborda los requisitos únicos que suponen la protección de datos de investigación sensibles y el mantenimiento de la integridad de los recursos de computación científica. El marco incluye procedimientos para gestionar incidentes que afecten a ensayos clínicos, proteger la propiedad intelectual y coordinar respuestas entre varios institutos de investigación. Proporciona directrices específicas para incidentes que impliquen información no clasificada controlada, datos de sujetos humanos y clústeres de computación de alto rendimiento utilizados para la investigación genómica.

Las instituciones académicas se enfrentan a retos específicos a la hora de conciliar entornos de investigación abiertos con las exigencias de seguridad. La plantilla de UConn aborda incidentes que afectan a diversas poblaciones de usuarios, incluidos alumnos, profesores e investigadores. Incluye procedimientos para gestionar incidentes durante periodos académicos críticos, proteger los registros de los alumnos de acuerdo con la ley FERPA y coordinar las respuestas en los departamentos de TI descentralizados, al tiempo que se mantiene la libertad académica y la colaboración en proyectos de investigación.