Cómo poner en marcha un equipo de respuesta ante incidentes

Es apabullante la velocidad a la que las amenazas evolucionan y empeoran, dando lugar a  un tipo de amenaza diferente a la que se solía combatir, la de los ataques dirigidos, cuyo objetivo es infiltrarse en una red de forma sigilosa, para, una vez dentro, aprovechar una vulnerabilidad conocida para ir escalando privilegios lateralmente hasta que encuentra lo que está buscando. Las técnicas para ocultarse hacen que el atacante sea capaz de permanecer escondido durante largos períodos de tiempo en los que extrae información sensible, como datos de clientes, IP, operaciones secretas, etc.

Los ataques dirigidos están en su máximo auge en el mundo clandestino cibernético y organizaciones de todos los tamaños están en riesgo. Para luchar contra esto, las organizaciones tienen que cambiar su forma de pensar, y un equipo de respuesta a incidentes debe ser como un control crítico que cada empresa ha de implementar. Para ayudar sobre dónde y cómo empezar a crear un equipo de respuesta a incidentes, Trend Micro ha elaborado una guía práctica con consejos, asesoría y buenas prácticas.

Según Trend Micro, estos equipos deben ser capaces de entrar en acción cuando se sospeche de un ataque, llegando a la raíz de la causa de un presunto ataque, haciendo frente a las cuestiones jurídicas y de cumplimiento que puedan plantearse y notificando al cliente, permitiendo así que el resto del departamento de TI pueda centrarse en esfuerzos operativos. 

Durante un ataque, el equipo de respuesta a incidentes debe realizar un seguimiento de la investigación y mantener a los directivos actualizados. Para que sea eficaz es importante asegurarse de que el equipo está formado por expertos de toda la organización, incluyendo técnicos, inteligencia de amenazas, recursos humanos, legal, comunicación y gestión directiva. Los roles y responsabilidades deben ser documentados y derivados a cada miembro, que debe recibir formación adecuada.