Crea y mantén un plan de comunicaciones para el encargado de incidentes con información de contacto, mecanismos de informes de incidentes, un sistema de seguimiento de problemas, una sala de guerra y software de encriptación para las comunicaciones.

Comprender los vectores de ataque, como el software malicioso en correos electrónicos, los sitios web maliciosos, la suplantación de identidad, los medios extraíbles, la fuerza bruta y la actividad inusual, y usar herramientas de alertas, como IDPS, SIEM, antivirus y antispam, y registros. Para el análisis, esto debería incluir la creación de perfiles del sistema de red, la comprensión de los comportamientos normales, la creación de políticas de retención de registros y la realización de la correlación de eventos.

Identificar a los atacantes validando las direcciones IP de los hosts, usando bases de datos de incidentes, supervisando los canales de comunicación de los atacantes y realizando investigaciones a través de motores de búsqueda. El equipo de respuesta debe llevar a cabo la erradicación y la recuperación con un enfoque por fases basado en la priorización.

Determinar cómo la organización podría haber evitado un ataque haciendo preguntas como las siguientes: ¿Qué sucedió? ¿Cuándo? y ¿Qué pasos dio el equipo de respuesta que pudieron haber impedido la recuperación?

Los entornos de nube presentan desafíos únicos para la respuesta ante incidentes debido a su naturaleza distribuida y al modelo de responsabilidad compartida. Una plantilla específica de la nube aborda problemas como la seguridad de múltiples usuarios, las amenazas basadas en APIs y las complejidades de investigar incidentes en una infraestructura efímera. Estas plantillas incorporan herramientas nativas de la nube para la supervisión y el análisis forense, definen procedimientos para coordinar con los proveedores de servicios en la nube y establecen protocolos para preservar la evidencia en entornos dinámicos en los que los recursos pueden escalarse o finalizarse automáticamente.

Las plantillas tradicionales de respuesta ante incidentes de seguridad informática se enfocan en la protección de extremos y la seguridad de redes en la infraestructura local. Estas plantillas proporcionan procedimientos integrales para manejar infecciones de software malicioso, intentos de acceso no autorizado y violaciones de la seguridad de los datos que afectan a estaciones de trabajo y servidores. Incluyen pasos detallados para aislar los sistemas afectados, recopilar evidencia forense de los discos duros y la memoria, y restablecer las operaciones mientras se mantiene la cadena de custodia para posibles procesos legales.

Las plantillas diseñadas para los administradores de ciberseguridad enfatizan la coordinación estratégica y la comunicación entre varios equipos y partes interesadas. Estos marcos incluyen matrices de derivación para involucrar al liderazgo ejecutivo, plantillas para notificaciones reglamentarias y procedimientos para administrar las relaciones públicas durante incidentes de alto perfil. Proporcionan orientación sobre la asignación de recursos, la administración de proveedores y la presentación de informes posteriores a los incidentes a las juntas y los organismos reguladores, lo que garantiza que los administradores puedan orquestar de manera eficaz los esfuerzos de respuesta complejos.

Las plantillas de respuesta ante incidentes de atención médica abordan los desafíos únicos de proteger los datos de los pacientes mientras se mantienen los sistemas de atención crítica. Estas plantillas incorporan los requisitos de notificación de incumplimiento de la HIPAA, los procedimientos para manejar ataques de ransomware en dispositivos médicos y los protocolos para mantener la atención al paciente durante las interrupciones del sistema. Incluyen orientación específica para trabajar con proveedores de registros electrónicos de salud, coordinar con intercambios regionales de información de salud y administrar incidentes que podrían afectar la seguridad de los pacientes.

La plantilla del Departamento de Tecnología de California proporciona un marco de trabajo integral diseñado para agencias estatales que administran servicios públicos fundamentales. Esta plantilla enfatiza la coordinación interinstitucional, los requisitos de transparencia pública y los procedimientos para proteger los datos de los ciudadanos. Incluye protocolos específicos para coordinar con las oficinas estatales de administración de emergencias, manejar incidentes que afectan a varios departamentos y mantener la continuidad de los servicios gubernamentales durante los ciberataques.

La plantilla del NIH aborda los requisitos únicos de proteger los datos de investigación sensibles y mantener la integridad de los recursos de computación científica. El marco incluye procedimientos para manejar incidentes que afectan los ensayos clínicos, proteger la propiedad intelectual y coordinar las respuestas en varios institutos de investigación. Proporciona orientación específica para incidentes que involucran información no clasificada controlada, datos de sujetos humanos y clústeres de computación de alto rendimiento utilizados para la investigación genómica.

Las instituciones académicas se enfrentan a desafíos distintos para equilibrar los entornos de investigación abiertos con los requisitos de seguridad. La plantilla de UConn aborda incidentes que afectan a diversas poblaciones de usuarios, incluidos estudiantes, profesores e investigadores. Incluye procedimientos para manejar incidentes durante períodos académicos críticos, proteger los registros de los estudiantes en virtud de la FERPA y coordinar respuestas en departamentos de TI descentralizados mientras se mantiene la libertad académica y la colaboración en la investigación.